V Ý R O Č N Í Z PRÁ VA O ČINNOSTI NÁRODNÍHO BEZPEČNOSTNÍHO ÚŘADU ZA ROK 2010
Praha 2011
2
1. Úvod Stejně jako v předcházejících letech byla i v roce 2010 činnost Národního bezpečnostního úřadu (dále jen „Úřad“), v souladu s jeho působností a úkoly stanovenými zákonem č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění pozdějších předpisů (dále jen „zákon“), zaměřena zejména na tyto hlavní oblasti:
rozhodování o žádostech fyzických osob, žádostech podnikatelů a žádostech o doklad a provádění bezpečnostního řízení,
certifikace technických prostředků, informačních systémů, kryptografických prostředků, kryptografických pracovišť a stínicích komor,
spolupráce s bezpečnostními úřady členských zemí Organizace Severoatlantické smlouvy (NATO) a Evropské unie (EU) a zemí kandidujících na vstup do těchto organizací (vzájemné konzultace, příprava návrhů na sjednávání mezinárodních smluv) a podíl odborných pracovníků Úřadu na práci a jednání orgánů NATO a EU,
aplikace právní úpravy ochrany utajovaných informací a bezpečnostní způsobilosti při plnění výše uvedených úkolů, výkon státního dozoru a poskytování metodické pomoci směřující k upevňování právního vědomí dotčených subjektů a ke sjednocování aplikační praxe v dané oblasti.
2. Činnost Úřadu
2.1. Legislativní a právní činnost Úřadu 2.1.1. Vnější legislativní činnost V průběhu roku 2010 byl do vnějšího připomínkového řízení předložen návrh zákona, kterým se mění zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění pozdějších předpisů. Návrh zákona byl zpracován na základě návrhu Plánu legislativních prací vlády na zbývající část roku 2010 a na rok 2011 a naplňuje usnesení vlády ČR ze dne 12. prosince 2007 č. 1381, v němž vláda schválila „Legislativní a technicko – organizační opatření ke zjednodušení a zefektivnění systému ochrany utajovaných informací a bezpečnostní způsobilosti v České republice“. Návrh změny zákona navazuje na vládní návrh předložený v roce 2008 Poslanecké sněmovně Parlamentu ČR, který byl jako sněmovní tisk 683 projednán v prvním čtení, avšak z důvodu skončení V. volebního období Poslanecké sněmovny 3
Parlamentu ČR již návrh nebyl dále projednáván a legislativní proces tak nebyl dokončen. Nově předložený návrh je částečně přepracovaný, navazuje na návrh z roku 2008 a je doplněný o další legislativní body, které v praxi povedou ke zefektivnění, zpřehlednění a zjednodušení právní úpravy ochrany utajovaných informací a výkonu citlivých činností, zejména z pohledu účastníka bezpečnostního řízení (fyzická osoba i podnikatel); současně se návrhem napravují některé nedostatky zjištěné v průběhu téměř pětileté aplikace tohoto zákona. Součástí návrhu je rovněž novela zákona č. 634/2004 Sb., o správních poplatcích, ve znění pozdějších předpisů, v němž je navrhováno zpoplatnění bezpečnostního řízení u podnikatelů. Návrh zákona prošel vnějším připomínkovým řízením, které bylo ukončeno v průběhu listopadu 2010, a v prosinci 2010 byl předložen vládě ČR k dalšímu projednávání bez rozporu. Návrh zákona byl projednán pracovními komisemi Legislativní rady vlády pro správní právo a pro finanční právo. Souběžně s legislativním procesem přípravy novelizace zákona připravuje Úřad novelizace prováděcích předpisů. Úřad se dále aktivně účastnil legislativního procesu jako připomínkové místo, které se vyjadřuje k návrhům právních předpisů. V rámci posuzování právních předpisů, které byly do vnějšího připomínkového řízení předloženy ministerstvy nebo ústředními orgány státní správy, uplatnil Úřad řadu připomínek, které s předkladateli následně vypořádával. 2.1.2. Vnitřní legislativní činnost V průběhu roku 2010 bylo vydáno celkem 28 nových interních aktů řízení ředitele Úřadu. V souvislosti se zefektivněním řídících procesů a činnosti Úřadu byl vydán nový organizační řád a v souvislosti s plněním povinností Úřadu podle zákona č. 499/2004 Sb., o archivnictví a spisové službě a o změně některých zákonů, ve znění pozdějších předpisů, byl vydán Badatelský řád Archivu Úřadu. Ostatní nově vydané interní akty řízení byly vydány z důvodu změn v právním řádu ČR a s ohledem na snahu o zvýšení produktivity Úřadu. 2.1.3. Právní činnost V roce 2010 bylo řešeno 183 porušení zákona, z toho 158 v oblasti utajovaných informací a 25 v oblasti bezpečnostní způsobilosti. V 64 případech bylo pro porušení povinností stanovených zákonem zahájeno správní řízení s fyzickými nebo právnickými osobami, z toho ve 48 případech s fyzickými osobami a v 16 případech s právnickými osobami. Ve 2 případech bylo správní řízení zastaveno, ve 4 případech bylo uloženo napomenutí a v 58 případech byla uložena pokuta. Celková výše uložených pokut dosáhla částky 257.500 Kč, z toho fyzickým osobám 162.500 Kč a právnickým osobám 95.000 Kč.
4
Správní řízení v roce 2010 Fyzická osoba
Právnická osoba
Celkem
Zahájená správní řízení
48
16
64
Počet uloţených sankcí
46
16
62
Zastavená správní řízení
2
0
2
Dosud neukončená správní řízení
14
0
14
V oblasti právní činnosti bylo v roce 2010 dále uzavřeno téměř 90 smluv nebo dodatků k již existujícím smlouvám s externími subjekty, jejichž předmětem je především zajištění činností a dodávek nezbytných pro plnění stanovených úkolů Úřadu. Součást právní činnosti tvoří rovněž vyřizování nároků na náhradu škody způsobené nezákonným rozhodnutím nebo nesprávným úředním postupem, podle zákona č. 82/1998 Sb., o odpovědnosti státu za škodu způsobenou při výkonu veřejné moci rozhodnutím nebo nesprávným úředním postupem, ve znění pozdějších předpisů. V současnosti uplatňuje nárok na náhradu této škody 8 žadatelů. Průběžně je vedena evidence plnění legislativních závazků vyplývajících z členství v EU v působnosti Úřadu prostřednictvím Informačního systému aproximace práva (ISAP). Jako odpověď na dotazy žadatelů nebo pro potřeby organizačních celků Úřadu byla vypracována řada právních stanovisek k aplikaci právních předpisů spadajících do působnosti Úřadu.
2.2. Mezinárodní spolupráce Úřadu 2.2.1. Mezinárodní smlouvy Úřad má jako ústřední správní úřad pro oblast ochrany utajovaných informací ve své kompetenci přípravu návrhů na sjednávání smluv o ochraně utajovaných informací. Při stanovování priorit v této oblasti Úřad vychází z praktické potřeby výměny utajovaných informací s konkrétními státy a z potřeby zajistit těmto informacím odpovídající ochranu. Sjednávání smluv o ochraně utajovaných informací je zcela v souladu se zahraničně politickými zájmy ČR, stejně jako se závazky, které pro ČR vyplývají z členství v EU a NATO. Smlouvy o ochraně utajovaných informací upravují režim poskytování utajovaných informací mezi ČR a druhou smluvní stranou, ochranu předaných utajovaných informací a spolupráci správních orgánů odpovědných za jejich ochranu. Vzhledem k tomu, že tyto smlouvy upravují věci, jejichž úprava je vyhrazena zákonu, a dále práva a povinnosti osob, jedná se o smlouvy, k jejichž ratifikaci je, v souladu s čl. 49 Ústavy ČR, potřebný souhlas obou komor Parlamentu ČR. Ve smyslu Směrnice vlády pro sjednávání, vnitrostátní projednávání, provádění a ukončování platnosti mezinárodních smluv, schválené usnesením vlády č. 131 ze dne 11. února 2004, se jedná o mezinárodní smlouvy prezidentské kategorie. Smlouvy o ochraně utajovaných informací jsou sjednávány v souladu s Ústavou ČR a ostatními právními předpisy a v souladu s mezinárodně-právními 5
závazky ČR (včetně práva EU a bezpečnostních standardů NATO). Smlouvy dále reflektují obecně uznávané principy a uzance mezinárodního práva. Jejich provádění nemá dopad na státní rozpočet. 2.2.1.1. Hodnocení sjednávání smluv o ochraně utajovaných informací za rok 2010 V roce 2010 byly mezinárodních smluv:
vyvíjeny
následující
aktivity
v rámci
sjednávání
Smlouva mezi vládou České republiky a Radou ministrů Albánské republiky o výměně a vzájemné ochraně utajovaných informací Smlouva byla předána Parlamentu ČR k vyslovení souhlasu s ratifikací.
Smlouva mezi Českou republikou a Španělským královstvím o výměně a vzájemné ochraně utajovaných informací Smlouva byla předána Parlamentu ČR k vyslovení souhlasu s ratifikací.
Smlouva mezi vládou České republiky a vládou Ázerbájdţánské republiky o výměně a vzájemné ochraně utajovaných informací V roce 2010 proběhlo druhé kolo expertního jednání.
Smlouva mezi Českou republikou a Belgickým královstvím o výměně a vzájemné ochraně utajovaných informací V roce 2010 pokračovalo expertní jednání o smlouvě.
Smlouva mezi Českou republikou a Bosnou a Hercegovinou o výměně a vzájemné ochraně utajovaných informací Smlouva byla podepsána dne 28. dubna 2010 v Sarajevu ředitelem Úřadu Ing. Dušanem Navrátilem a Mate Miletićem, náměstkem ministra bezpečnosti Bosny a Hercegoviny. Nyní se čeká na souhlas s ratifikací.
Smlouva mezi vládou České republiky a vládou Černé Hory o výměně a vzájemné ochraně utajovaných informací Smlouva byla podepsána dne 29. dubna 2010 v Podgorici ředitelem Úřadu Ing. Dušanem Navrátilem a Savo Vučinićem, ředitelem Ředitelství pro ochranu utajovaných skutečností. Nyní se čeká na souhlas s ratifikací.
Smlouva mezi vládou České republiky a vládou Chorvatské republiky o vzájemné ochraně utajovaných informací Smlouva byla podepsána dne 1. února 2010 v Praze ředitelem Úřadu Ing. Dušanem Navrátilem a Petarem Mičevićem, ředitelem chorvatského Národního bezpečnostního úřadu. Nyní se čeká na souhlas s ratifikací.
6
Smlouva mezi Českou republikou a Kyperskou republikou o výměně a vzájemné ochraně utajovaných informací V roce 2010 proběhlo expertní jednání. Podpis smlouvy je naplánován na rok 2011.
Bezpečnostní smlouva mezi vládou České Lucemburského velkovévodství o vzájemné utajovaných informací
republiky a vládou výměně a ochraně
Expertní jednání o smlouvě bylo ukončeno v roce 2009. Čeká se na reakci lucemburské strany.
Smlouva mezi Českou republikou a Nizozemským královstvím o výměně a vzájemné ochraně utajovaných informací Expertní jednání o smlouvě bylo ukončeno. Dosud probíhá vnitrostátní schvalovací procedura v Nizozemsku.
Smlouva mezi vládou České republiky a vládou Rumunska o vzájemné ochraně vyměněných utajovaných informací Smlouva byla podepsána dne 31. března 2010 v Bukurešti ředitelem Úřadu Ing. Dušanem Navrátilem a Prof. Dr. Mariem Petrescu, ředitelem ORNISS (rumunský Národní bezpečnostní úřad). Nyní se čeká na souhlas s ratifikací.
Bezpečnostní prováděcí dohoda pro projekty v oblasti průmyslu mezi vládou České republiky a vládou Spojených států amerických V roce 2010 pokračovalo expertní jednání o smlouvě.
Smlouva mezi Českou republikou a Švýcarskou konfederací o výměně a vzájemné ochraně utajovaných informací Expertní jednání o smlouvě bylo ukončeno, v roce 2011 se očekává podpis smlouvy.
Smlouva mezi Českou republikou a Tureckou republikou o výměně a vzájemné ochraně utajovaných informací V roce 2010 pokračovalo expertní jednání o smlouvě.
Smlouva mezi Českou republikou a Estonskou republikou o výměně a vzájemné ochraně utajovaných informací Expertní jednání o smlouvě bylo ukončeno, v roce 2011 se očekává podpis smlouvy.
7
Smlouva mezi vládou České republiky a vládou Brazilské federativní republiky o vzájemné ochraně utajovaných informací V roce 2010 bylo zahájeno expertní jednání o smlouvě.
Smlouva mezi Českou republikou a Australským svazem o výměně a vzájemné ochraně utajovaných informací V roce 2010 bylo zahájeno expertní jednání o smlouvě.
Bezpečnostní smlouva mezi vládou České republiky a vládou Řecké republiky o vzájemné ochraně vyměněných utajovaných informací Smlouva byla v ČRkéatifikována, nyní se čeká na oznámení řecké strany o splnění podmínek pro její vstup v platnost.
8
NATO Pracovní skupina IICWG pro vývoj a standardizaci univerzálního komunikačního protokolu pro přenos utajovaných informací v heterogenním komunikačním prostředí (SCIP) Orgány EU EU Council Security Committee – Bezpečnostní výbor Rady EU Council Security Committee (INFOSEC Office) – Bezpečnostní výbor Rady EU, INFOSEC sTESTA Accreditation Board – Akreditační výbor informačního systému sTESTA GALILEO Security Board / System Safety and Security Committee (GSB/3SC) – Bezpečnostní otázky systému GALILEO BdL Network Security Accreditation Panel – Akreditační orgán sítě Bureau de Liaison SESAME Accreditation Board – Akreditační výbor systému ESDP-Net a SESAME Combined – Security Accreditation Panel (C-SAP) – Kombinovaný bezpečnostní akreditační panel pro součinnostní informační systémy Rady EU Pracovní skupiny Implementation Tempest Task Force (ITTF) a Technical Tempest Task Force (TTTF) – Pracovní skupiny pro oblasti problematiky TEMPEST
Orgány NATO:
Bezpečnostní výbor NATO (NATO Security Committee) byl zřízen Severoatlantickou Radou (NAC) jako její poradní orgán. Je složen ze zástupců členských zemí a odpovídá Severoatlantické Radě za prověřování otázek týkajících se bezpečnostní politiky NATO a za přípravu příslušných doporučení. Z titulu funkce se jeho jednání účastní ředitelé příslušných bezpečnostních úřadů členských států. Schází se dvakrát ročně.
Pracovní skupina 1 pro bezpečnost informačních systémů (WG/1 on Information Assurance) působí v rámci NATO Office of Security a poskytuje podporu NATO Security Committee (NSC) v oblasti Information Assurance a koordinaci schvalovacích procesů pro dokumenty z oblasti Information Assurance vytvářené NSC a NC3B. Skupina je odpovědná za vyhodnocování hrozeb a zranitelností informačních systémů, revidování a vytváření bezpečnostních politik a vytváření směrnic, nařízení a příruček v oblastech managementu Information Assurance, ohodnocování a řízení bezpečnosti rizik, bezpečnostního schvalování a akreditací, bezpečnostních inspekcí a dalších aspektů oblasti Information Assurance.
Podvýbor Information Assurance působí v rámci NATO Consultation, Command and Control Board (NC3B). Je zřízen NC3B ke stanovování ochrany informací NATO při jejich ukládání, zpracování nebo přenosu v komunikačních, informačních a jiných elektronických systémech. Podvýbor 9
také spolupracuje s Vojenským výborem NATO a NSC v záležitostech provozních nebo bezpečnostních politik informačních a komunikačních systémů používaných v NATO.
Pracovní skupina Cross Domain Issue – AHWG/1 se zabývá tvorbou směrnic pro propojování komunikačních a informačních systémů (KIS) nakládajících s utajovanými informacemi – stanovením minimálních bezpečnostních požadavků propojování KIS v rámci NATO, NATO a členských zemí NATO a současně NATO a ostatních partnerů (např. Partnership for Peace (PfP), Combined Joint Task Forces (CJTF), EU, veřejné sítě).
Pracovní skupina Cryptographic Services AHWG/4 je součástí podvýboru NATO SC/4. Jedná se o pracovní skupinu připravující dokumenty z oblasti implementace kryptografických prostředků a kryptografické ochrany utajovaných informací zpracovávaných v komunikačních a informačních systémech NATO a standardy pro zadávání, hodnocení a schvalování kryptografických prostředků pro NATO a členské státy NATO. V této pracovní skupině vznikají návrhy direktiv a prováděcích dokumentů pro projektování a aplikaci kryptografických prostředků, klíčových materiálů a nekryptografických funkcí PKI. Úřad se podílí na jejich tvorbě a využívá výsledky při certifikaci kryptografických prostředků a kryptografických pracovišť, tvorbě prováděcích předpisů pro jejich provozování a při jejich kontrolách.
Archivní výbor NATO spoluvytváří koncepci odtajňování historicky důležitých dokumentů NATO a jejich zpřístupňování veřejnosti. Výbor dále rozvíjí a zdokonaluje archivní politiku, řídí archivy vytvořené vojenskými a civilními složkami NATO a spolupodílí se na tvorbě příslušných interních předpisů NATO.
Pracovní skupina AC35 pro přípravu instrukcí k uplatňování bezpečnostní politiky (AHWG-SPG, Ad Hoc Working Group – Security Policy Guidance) je odpovědná za přípravu, revidování a vytváření bezpečnostních politik NATO. Skupina doporučuje směrnice, nařízení a příručky prováděcích předpisů NATO v jednotlivých oblastech bezpečnosti.
Pracovní skupina IICWG (International Interoperability Control Working Group) zastřešuje aktivity, které směřují ke standardizaci komunikačního protokolu pro bezpečný přenos utajovaných informací SCIP (Secure Communication Interoperability Protocol) v heterogenním komunikačním prostředí pro potřeby NATO, ale i národní. V rámci IICWG působí řada dílčích pracovních skupin podle odborného zaměření. Ve skupině KMWG (Key Management Working Group), na jejíž práci se také podílí Úřad, je řešena problematika vlastního protokolu, správy a distribuce kryptografických klíčů. Současně je monitorován stav řešení v dalších skupinách s ohledem na získávání informací pro rozhodování o vlastnostech a podmínkách potenciální aplikace protokolu nebo používání zařízení s implementovaným protokolem.
10
Orgány EU:
Bezpečnostní výbor Rady EU (Council Security Committee EU) je orgánem, jehož hlavní úlohou je rozhodování o otázkách spadajících do oblasti společné bezpečnostní politiky a navrhování stanovisek Evropské radě, a to z vlastní iniciativy či na její žádost. Bezpečnostní výbor Rady EU má i další funkce – koordinuje a sleduje diskuse různých pracovních skupin o společné bezpečnostní politice a informuje se o výsledcích jejich činnosti.
Council Security Committee (INFOSEC) je orgánem Rady EU odpovědným za schvalování a prosazování bezpečnostních politik, směrnic a nařízení v oblasti informačních a komunikačních systémů nakládajících s utajovanými informacemi EU. Organizuje i inspekční činnost v členských státech.
sTESTA Accreditation Board je orgánem Evropské komise odpovědným za schvalování bezpečnostních politik, směrnic a nařízení pro informační systém sTESTA, který je určen k přenosu utajovaných informací Evropské komise.
GALILEO Security Board a System Safety Security Committee jsou výbory pro bezpečnostní otázky projektu GALILEO – satelitního navigačního systému EU. Výbory řeší bezpečnostní problematiku výstavby a provozu systému GALILEO, jeho vazby na další satelitní navigační systémy (např. GPS), uvolňování citlivých a utajovaných informací, technologií a know-how členským i nečlenským zemím EU, otázku akreditace pracovišť pro provoz systému, kryptografickou ochranu pro službu Public Regulated Services (PRS), která je určena pro bezpečnostní složky členských států.
BdL Net Security Accreditation Panel je akreditačním orgánem sítě Bureau de Liaison, ustanoveným nově v roce 2006 pro bezpečnostní akreditaci této součinnostní sítě protiteroristických policejních útvarů zemí EU.
SESAME Accreditation Board je orgánem Rady pro schvalování bezpečnostních politik, směrnic a nařízení pro informační systém ESDP-Net a plánovaný systém SESAME.
Combined – Security Accreditation Panel (C-SAP) je orgánem Rady EU pro bezpečnostní akreditaci součinnostních informačních systémů EU s přípojnými body v členských zemích EU, provozovaných Generálním sekretariátem Rady (GSC). C-SAP v současné době zastřešuje jednání SESAME SAP (systémy ESDP-Net a SESAME) a koordinační jednání lokálních (národních) bezpečnostních akreditačních orgánů pro systémy FADO a Extranet-R a odpovídá rovněž za akreditaci systému CORTESY.
Pracovní skupiny Implementation Tempest Task Force (ITTF) a Technical Tempest Task Force (TTTF) – pracovní skupiny EU, které mají za úkol připravit nové technické standardy v oblasti kompromitujícího elektromagnetického vyzařování. Zastoupení členské země EU v těchto skupinách je podmíněno dostatečnou úrovní odborných znalostí a schopností.
11
Dalším mezinárodním fórem, jehož činnosti se Úřad aktivně účastní, je Mezinárodní pracovní skupina pro průmyslovou bezpečnost MISWG (Multinational Industrial Security Working Group). Cílem této pracovní skupiny, která aktivně spolupracuje s NATO a EU, je přiblížení národních standardů v otázkách průmyslové bezpečnosti. Skupina sestává z 29 členů (jde především o členské státy NATO, doplněné o další státy EU a o státy, které jsou v pozici kandidátů na vstup do NATO). 2.2.3. Spolupráce s bezpečnostními úřady partnerských států Úřad od svého založení průběžně spolupracuje s národními bezpečnostními úřady členských zemí NATO a EU v oblasti ochrany utajovaných informací (výměny zkušeností, provádění úkonů v bezpečnostním řízení, uznávání bezpečnostních oprávnění, povolování návštěv, které předpokládají přístup k utajovaným informacím atd.) a poskytuje konzultační a asistenční činnost státům, které aspirují na členství v obou uvedených organizacích. Asistenční a konzultační činnost ve vztahu k nečlenským státům EU nebo NATO se zaměřuje zejména na oblast Balkánu (Albánie, Bosna a Hercegovina, Černá Hora, Chorvatsko, Makedonie a Srbsko) a jižního Kavkazu (Ázerbájdžán, Gruzie). Úřad se všemi uvedenými státy sjednal nebo v současnosti sjednává smlouvy o výměně a vzájemné ochraně utajovaných informací. Pro Bosnu a Hercegovinu byl v lednu 2010 v Praze uspořádán workshop o procedurálních a institucionálních aspektech ochrany utajovaných informací, za účasti bosenského ředitele odboru prověrek a směrnic a pracovníků sub-registru. S Černou Horou byla nastavena spolupráce na expertní úrovni. V březnu 2010 proběhl v Praze workshop pro odborníky z oblasti NDA (National Distribution Authority), TEMPEST, SAA (Security Accreditation Authority) a NCSA (National Communication Security Authority). Na jeho organizaci se podíleli kromě zaměstnanců Úřadu i odborníci z Ministerstva obrany. V rámci vztahů s Chorvatskem proběhl v červnu 2010 v Praze workshop pro zástupce NSA HR týkající se personální a průmyslové bezpečnosti a systému registrů, především ve vztahu k EU. Co se týče Srbska, poskytli v květnu 2010 zástupci Úřadu srbským úřadům v Bělehradě asistenci při zřizování ústředního registru a subregistrů. V červenci 2010 se v Krakově sešli zástupci národních bezpečnostních úřadů členských států Visegrádské skupiny (V4), NATO a EU. Státy V4 prosazují i na úrovni svých národních bezpečnostních úřadů spolupráci a stabilitu v širším regionu Střední Evropy. V rámci tzv. Regionálního partnerství probíhá spolupráce i s Rakouskem a Slovinskem. Hlavním tématem jednání v Krakově byla součinnost národních bezpečnostních úřadů při poskytování asistence státům usilujícím o vstup do EU a NATO, zejména v oblasti Balkánu. Na závěr jednání se Česká republika přihlásila k pořádání setkání ředitelů národních bezpečnostních úřadů V4 v červnu roku 2011 v Praze. Přizváno bude, v rámci programu Regionálního partnerství, Slovinsko a dále se setkání zúčastní i představitelé NATO a EU.
12
2.2.4. Ostatní mezinárodní aktivity Úřadu Zástupci Úřadu aktivně participovali na činnosti Security Working Group v rámci projektu GRIPEN CZ ve věci zabezpečení a schválení informačních systémů pro nakládání s utajovanými informacemi, které jsou nutné pro podporu provozu letounů JAS-39 Gripen. V této věci se rovněž zúčastnili několika jednání mezi zástupci Ministerstva obrany ČR, NSA Švédského království a dalších švédských bezpečnostních orgánů (Swedish Defence Materiel Adminstration – FMV) k řešení některých specifických problémů. Nová aparatura pro provádění zónového měření kompromitujícího elektromagnetického vyzařování, která je výsledkem projektu výzkumu a vývoje Úřadu, byla prezentována v NATO a v rámci pracovního setkání týmů TEMPEST v NBÚ SR. Na základě prezentace v NATO objednal SHAPE 3 kusy uvedené aparatury.
2.3. Personální bezpečnost Oblast personální bezpečnosti zahrnuje provádění bezpečnostního řízení u fyzických osob, provádění úkonů za účelem prověření, zda fyzická osoba, která je držitelem osvědčení fyzické osoby, i nadále splňuje podmínky pro jeho vydání, vydávání osvědčení fyzické osoby, vydávání rozhodnutí o nevydání osvědčení fyzické osoby a rozhodnutí o zrušení platnosti osvědčení fyzické osoby, vydávání osvědčení pro cizí moc, potvrzujících cizí moci vydání osvědčení fyzické osoby, a úkony s tím spojené, zakládání, vedení, doplňování, evidenci a vyřazování bezpečnostních svazků a vedení evidence fyzických osob, které jsou držiteli osvědčení fyzické osoby. Zahrnuje rovněž součinnost s orgány státu, právnickými osobami a dalšími subjekty, které disponují informacemi důležitými pro bezpečnostní řízení. Uvedené činnosti zajišťovalo v Úřadu 5 samostatných organizačních celků začleněných do sekce bezpečnostního řízení, k 1. říjnu 2010 byl jejich počet, v důsledku reorganizace Úřadu, snížen na 4 (viz organizační strukturu v kapitole 3.4.). V roce 2010 byla, stejně jako v předchozích letech, věnována pozornost nejen průběžnému zlepšování již zavedených, ale i vytváření nových postupů v rámci bezpečnostního řízení včetně metodického působení. V důsledku této činnosti Úřad realizoval požadavky na provádění bezpečnostních řízení v naprosté většině případů v kratších lhůtách, než jsou zákonem stanoveny. Pouze v jednotlivých případech bylo nezbytné, aby ředitel Úřadu, na základě informace od orgánu státu, právnické osoby nebo podnikající fyzické osoby, podle § 118 zákona tyto lhůty prodloužil. Na základě zkušeností s uplatňováním postupů v bezpečnostním řízení, počínaje přijetím žádosti o vydání osvědčení fyzické osoby až po závěrečné rozhodnutí ve věci, je dále upřesňována Metodika bezpečnostního řízení z roku 2008. Úřad pro zaměstnance podílející se na provádění bezpečnostního řízení zorganizoval tématická školení ke specifickým otázkám, kterých se bezpečnostní řízení týká.
13
Součinnost, kterou v rámci bezpečnostního řízení poskytují Úřadu zpravodajské služby, Policie ČR a další spolupracující orgány státu a právnické osoby, byla i v roce 2010 na velmi dobré úrovni. V souladu s usnesením vlády ČR č. 1381 ze dne 12. prosince 2007 byla vzájemná spolupráce upravena dalšími realizačními dohodami a dodatky k nim. V průběhu roku 2010 byly uzavřeny 2 dohody a 2 dodatky. Jednalo se o Dohodu s Bezpečnostní informační službou o poskytování informací ze dne 9. února 2010, dále o Smlouvu o získávání informací z centrálního depozitáře cenných papírů prostřednictvím Information Service Broker ze dne 8. října 2010, Dodatek č. 1 k Realizační dohodě ze dne 11. března 2008 se SOLUS, zájmovým sdružením právnických osob ze dne 5. října 2010, a Dodatek č. 2 k Realizační dohodě ze dne 22. listopadu 2006 se společností CBCB-CZECH BANKING CREDIT BUREAU, a. s. ze dne 26. ledna 2010. Se všemi spolupracujícími subjekty Úřad nadále aktualizoval způsob vzájemné komunikace a poskytování údajů (prioritně kryptované zabezpečenou elektronickou formou) s cílem zásadním způsobem zkrátit dobu bezpečnostního řízení. Jako efektivní pro urychlení bezpečnostního řízení se také projevila komunikace pomocí datových schránek s účastníkem řízení a s ostatními spolupracujícími subjekty z veřejné i privátní sféry, se kterými nemá Úřad zavedenu komunikaci kryptovaně zabezpečenou elektronickou formou. V této souvislosti lze zejména zmínit komunikaci s bankami. Další oblastí činnosti byla spolupráce Úřadu s úřady cizí moci, které mají v působnosti ochranu utajovaných informací, při provádění vlastních bezpečnostních řízení (vyžadování informací). Úřad u partnerských úřadů vyžádal informace k 348 osobám a na základě jejich žádostí prováděl šetření k 61 osobám, které byly v daném státě prověřovány pro přístup k utajovaným informacím. Oproti roku 2009 došlo v loňském roce k mírnému nárůstu podaných žádostí o vydání osvědčení fyzické osoby. Úřad přijal celkem 6.680 žádostí, což je o 342 více než v roce 2009. Ve 33 případech bylo rozhodnuto o nevydání osvědčení a ve 221 případech bylo bezpečnostní řízení zastaveno. V roce 2010 bylo rovněž přijato 116 žádostí o ověření splnění podmínek přístupu fyzické osoby k utajované informaci stupně utajení Vyhrazené. Skoro polovinu objemu činnosti Úřadu v oblasti personální bezpečnosti (4.621 případů) v roce 2010 činilo provádění prověřování, zda fyzická osoba, která je držitelem osvědčení fyzické osoby, i nadále splňuje podmínky pro jeho vydání. Toto prověřování bylo standardně prováděno před vydáním osvědčení pro cizí moc a v případech, kdy Úřad obdržel od zpravodajských služeb, Ministerstva vnitra nebo Policie ČR informace, jejichž obsah nasvědčoval tomu, že držitel osvědčení fyzické osoby by mohl přestat splňovat podmínky pro jeho vydání, nebo tyto informace vyplynuly z nahlášených změn samotným držitelem osvědčení fyzické osoby nebo je Úřad získal přímo svou vlastní činností (např. z průběžného monitoringu tzv. otevřených zdrojů). V 226 případech toto prověřování vyústilo v zahájení řízení o zrušení platnosti osvědčení fyzické osoby a z těch bylo v 97 případech ukončeno
14
vydáním rozhodnutí o zrušení platnosti osvědčení fyzické osoby (tyto údaje nejsou promítnuty v kapitole 2.3.1. Statistické přehledy). 2.3.1. Statistické přehledy Přijaté ţádosti a ukončená bezpečnostní řízení v roce 2010 Důvěrné
Tajné
Přísně tajné
Celkem
Přijaté ţádosti
3.364
2.943
373
6.680
Osvědčení vydáno
3.221
2.461
215
5.897
Osvědčení nevydáno
19
13
1
33
Řízení zastaveno
127
79
15
221
Přijaté ţádosti o vydání osvědčení fyzické osoby v letech 2007 aţ 2010 5000 4500 4000 3500 3000
Důvěrné
2500
Tajné
2000
Přísně tajné
1500 1000 500 0 2007
2008
2009
2010
Vydaná osvědčení fyzické osoby v letech 2007 aţ 2010 6000 5000 4000 Důvěrné 3000
Tajné Přísně tajné
2000 1000 0 2007
2008
2009
15
2010
Přijaté ţádosti o ověření splnění podmínek pro přístup fyzické osoby k utajované informaci stupně utajení Vyhrazené v letech 2007 aţ 2010, včetně ověření podmínek podle § 9 odst. 2 zákona 800 700 600 500 400
přijaté ţádosti
300 200 100 0 2007
2008
2009
Bezpečnostní řízení v roce 2010 33
Bezpečnostní řízení v letech 2007 aţ 2010 237
221 osvědčení vydáno osvědčení nevydáno řízení zastaveno
5897
2010
815 osvědčení vydáno osvědčení nevydáno řízení zastaveno
27774
Vydaná osvědčení fyzické osoby pro cizí moc v roce 2010 COSMIC TOP SECRET
315
COSMIC TOP SECRET ATOMAL
45
NATO SECRET
2.875
NATO SECRET ATOMAL
12
NATO CONFIDENTIAL
1.255
NATO CONFIDENTIAL ATOMAL
1
WEU FOCAL TOP SECRET
24
WEU SECRET
51
WEU CONFIDENTIAL
29
CELKEM
4.607
16
Vydaná osvědčení fyzické osoby pro cizí moc v letech 2007 aţ 2010 5000 4500 4000 3500 3000 2500 vydaná osvědčení
2000 1500 1000 500 0 2007
2008
Osvědčení pro cizí moc v roce 2010 58
2009
2010
Osvědčení pro cizí moc v letech 2007 aţ 2010 281
104
470
NATO
NATO
NATO ATOMAL
NATO ATOMAL
WEU
WEU
4445
12476
2.3.2. Analýza důvodů nevydání nebo zrušení platnosti osvědčení fyzické osoby Převládajícím důvodem pro nevydání nebo zrušení platnosti osvědčení fyzické osoby bylo nesplnění podmínky bezpečnostní spolehlivosti podle § 12 odst. 1 písm. d) zákona, a to především z důvodu výskytu bezpečnostního rizika podle § 14 odst. 3 písm. d) zákona, tedy chování, které má vliv na důvěryhodnost nebo ovlivnitelnost osoby a může ovlivnit její schopnost utajovat informace. Toto bezpečnostní riziko zahrnuje poměrně velký rozsah faktických důvodů, které byly při jeho shledání Úřadem odvislé zejména od skutečností vyplývajících např. z trestního či přestupkového řízení, a dále širokého spektra případů porušování právních předpisů a interních normativních aktů nebo jejich obcházení, kdy převážnou motivací zde bylo získání majetkového či jiného prospěchu. Obecně byl zaznamenán až dramatický nárůst případů, kdy účastníci řízení (žadatelé či držitelé osvědčení) se svým přístupem k plnění svých závazkových vztahů ocitli v neudržitelné finanční, potažmo majetkové situaci, kterou řešili přistupováním k novým závazkům již s vědomím předchozí nesplácet, což může mít až fatální dopad na jejich schopnost, resp. ochotu utajovat informace, jako možné protislužby nebo nabídky, ve vazbě na případné zlepšení jejich stávajících majetkových poměrů. 17
Tyto případy většinou doprovází rovněž neochota účastníků řízení takové finanční problémy Úřadu vůbec uvést, potažmo objasnit. Úřad se setkal i s případy neschopnosti se k těmto problémům vůbec vyjádřit. Za určitých okolností jsou tyto skutečnosti klasifikovány také jako bezpečnostní riziko podle § 14 odst. 3 písm. i) zákona – zřejmě nepřiměřené finanční nebo majetkové poměry vzhledem k řádně přiznaným příjmům fyzické osoby, zejména v případech, kdy má účastník řízení majetek, jehož nabytí není schopen prokázat, popřípadě takové závazky, jejichž účel není schopen zdůvodnit. Ostatní rizika uvedená v § 14 odst. 2 a 3 zákona byla konstatována pouze u jednotlivých případů. Dalším stále vzrůstajícím důvodem nevydání či zrušení platnosti osvědčení fyzické osoby bylo nesplnění podmínky bezúhonnosti podle § 6 odst. 2 písm. c) zákona. V roce 2010 výrazně vzrostl počet případů, kdy fyzická osoba nesplňovala podmínku bezúhonnosti (nebo ji přestala splňovat v době platnosti osvědčení fyzické osoby) z důvodu pravomocného odsouzení za spáchání úmyslného trestného činu v souvislosti s jízdou motorovým vozidlem pod vlivem návykové látky. 2.3.3. Personální projekt V souladu s § 72 zákona již popáté předložila ministerstva a další ústřední správní úřady své personální projekty. Obecně lze konstatovat, že se tak jako v minulém roce při jejich zpracování pozitivně projevila snaha vyhovět účelu zákona a metodická činnost Úřadu zaměřená na tuto oblast. Účelem zpracování personálních projektů je získat celkový přehled o situaci v oblasti personální bezpečnosti a zhodnocení stavu z hlediska počtu fyzických osob, které žádají o vydání osvědčení fyzické osoby, ve vztahu ke skutečným potřebám a četnosti výskytu utajovaných informací u jednotlivých ministerstev a ústředních správních úřadů. Úřad má za to, že touto cestou je dosahováno snižování počtu nadbytečných nových žádostí o vydání osvědčení fyzické osoby pro přístup k utajovaným informacím oproti původním předpokladům uváděným v letech 2006 až 2008. Úřad zároveň i nadále metodicky působí na ústřední správní úřady, aby byly zohledněny veškeré podmínky pro držení osvědčení, zejména zásada „need to know“. Ke zpracování personálních projektů je nadále používán přepracovaný formulář z roku 2007. Poprvé od roku 2007 bylo vyjádření Úřadu k personálním projektům předloženo do připomínkového řízení dotčeným ministerstvům a orgánům státní správy. Na základě předložených personálních projektů a vypořádání vznesených připomínek zpracoval Úřad materiál pro jednání vlády, který vláda projednala dne 22. prosince 2010 a vydala usnesení č. 932, kterým schválila předložené personální projekty. Tímto usnesením zároveň uložila ministrům a vedoucím ostatních ústředních správních úřadů postupovat při zpracování a vedení přehledu míst a funkcí, na kterých je nezbytné mít přístup k utajovaným informacím, a při potvrzování zdůvodnění nutnosti přístupu fyzické osoby k utajované informaci tak, aby žádosti o vydání osvědčení fyzické osoby byly podávány jen v případech
18
odůvodněné a nezbytné potřeby přístupu fyzické osoby k utajované informaci. Dále uložila trvale přehodnocovat seznamy míst a funkcí, na kterých je nezbytné mít přístup k utajovaných informacím. Řediteli Úřadu vláda uložila zajistit, na žádost příslušného ministra nebo vedoucího ústředního správního úřadu, metodickou podporu při plnění uvedených úkolů. Také schválila směrná čísla maximálního počtu podání nových žádostí o vydání osvědčení fyzické osoby v roce 2011 u Ministerstva obrany a Ministerstva vnitra, která na základě vyhodnocení personálních projektů navrhl Úřad.
2.4. Bezpečnostní způsobilost V roce 2010 Úřad také vedl, ve smyslu části čtvrté zákona, bezpečnostní řízení k žádostem o vydání dokladu o bezpečnostní způsobilosti fyzických osob (dále jen „doklad“). Naprostou většinu podaných žádostí tvořily žádosti související s výkonem citlivé činnosti v oblasti zahraničního obchodu s vojenským materiálem a v oblasti nakládání s jaderným materiálem. Významnou částí náplně činnosti Úřadu v oblasti bezpečnostní způsobilosti je rovněž průběžné ověřování splnění podmínek pro vydání dokladu u jeho držitelů. Na základě zkušeností a porovnáním statistik z minulých let lze konstatovat, že se setrvale projevuje vyšší procento zrušení platnosti dokladů v důsledku trestné činnosti a také ztráty bezúhonnosti držitele dokladu. Součinnost, kterou Úřadu v rámci bezpečnostního řízení poskytuje Policie ČR, zpravodajské služby a další spolupracující orgány státu, lze označit jako velmi dobrou a velmi efektivní. Postupy zaměstnanců Úřadu a úkony v rámci bezpečnostního řízení prováděného na základě žádosti o vydání dokladu, prověřování splnění podmínek pro vydání dokladu u jeho držitelů, bezpečnostní řízení o zrušení platnosti dokladu a úkony s tím spojené, jsou metodicky usměrňovány Metodikou bezpečnostního řízení uvedenou v kapitole 2.3. V roce 2010 pokračovala diskuse o dalším využívání institutu bezpečnostní způsobilosti. Úřad je připraven dále pokračovat v jednání o smysluplném a efektivním rozšíření portfolia přesně vymezených citlivých činností, jejichž výkon by byl podmíněn držením platného dokladu, jako je tomu např. v souvislosti s nově vzniklou citlivou činností v oblasti veřejných zakázek.
19
2.4.1. Statistické přehledy Přehled přijatých ţádostí a ukončených bezpečnostních řízení v roce 2010 Přijaté ţádosti
Doklad vydán
Doklad nevydán
Řízení zastaveno
Zrušení platnosti dokladu
130
118
2
7
0
157
54
0
0
3
0
0
0
0
0
6
6
0
1
0
Ostatní
19
8
0
31
39
Celkem
312
186
2
39
42
Citlivá činnost podle § 8 zákona č. 38/1994 Sb. § 2a atomového zákona
1
2
§ 5 zákona č. 310/2006 Sb.
3
§ 25c odst. 10 zákona č. 61/1988 Sb.
4
2.5. Průmyslová bezpečnost V oblasti průmyslové bezpečnosti Úřad zabezpečoval provádění bezpečnostního řízení o žádostech podnikatelů, vydávání osvědčení podnikatele, vydávání osvědčení podnikatele pro cizí moc, potvrzující cizí moci vydání osvědčení podnikatele, vydávání rozhodnutí o nevydání osvědčení podnikatele, provádění bezpečnostního řízení o zrušení platnosti osvědčení podnikatele, vydávání rozhodnutí o zrušení platnosti osvědčení podnikatele a úkony s těmito činnostmi spojené. Mimo provádění bezpečnostního řízení plnil i úkoly stanovené zákonem ve vztahu k podnikatelům, kteří jsou držiteli osvědčení podnikatele. Zde se činnost Úřadu vyznačovala především prováděním úkonů k ověřování splnění zákonem stanovených podmínek pro vydání osvědčení podnikatele, a to jak v rámci změn údajů v žádosti podnikatele oznámených jednotlivými držiteli osvědčení podnikatele, tak i na základě informací získaných Úřadem z vlastní činnosti nebo poskytnutých orgány státu, především zpravodajskými službami a Policií ČR a jinými orgány či osobami. Oblast prověřování splnění podmínek velmi úzce souvisí s bezpečnostním řízením a následným rozhodováním o zrušení platnosti osvědčení podnikatele. Úřad nadále pokračoval ve zdokonalování systému provádění jednotlivých úkonů bezpečnostního řízení s cílem jeho urychlení a zefektivnění. Především 1
§ 8 zákona č. 38/1994 Sb., o zahraničním obchodu s vojenským materiálem a o doplnění zákona č. 455/1991 Sb., o živnostenském podnikání (živnostenský zákon), ve znění pozdějších předpisů, a zákona č. 140/1961 Sb., trestní zákon, ve znění pozdějších předpisů, ve znění pozdějších předpisů. 2 Zákon č. 18/1997 Sb., o mírovém využívání jaderné energie a ionizujícího záření (atomový zákon) a o změně a doplnění některých zákonů, ve znění pozdějších předpisů. 3 Zákon č. 310/2006 Sb., o nakládání s některými věcmi využitelnými k obranným a bezpečnostním účelům na území České republiky a o změně některých dalších zákonů (zákon o nakládání s bezpečnostním materiálem), ve znění pozdějších předpisů. 4 Zákon č. 61/1988 Sb., o hornické činnosti, výbušninách a o státní báňské správě, ve znění pozdějších předpisů.
20
v oblasti provádění evidenčního šetření rozšiřoval a zdokonaloval elektronickou komunikaci mezi Úřadem a orgány státu a některými dalšími institucemi. Na základě zkušeností s uplatňováním postupů v bezpečnostním řízení byl v roce 2010 dále aktualizován závazný metodický materiál upravující tyto postupy. Součinnost, kterou Úřadu v rámci bezpečnostního řízení poskytuje Policie ČR, zpravodajské služby a další spolupracující orgány státu a právnické osoby, lze označit jako velmi dobrou a efektivní. Konkrétní úpravy součinnosti a spolupráce se také promítly do nově uzavíraných realizačních dohod a jejich dodatků (viz kapitolu 2.3.). 2.5.1. Bezpečnostní řízení o ţádosti podnikatele V průběhu roku 2010 bylo Úřadem přijato 193 žádostí podnikatelů o vydání osvědčení podnikatele. Z tohoto počtu bylo k 31. prosinci 2010 rozhodnuto o 144 žádostech, u zbylých 49 žádostí k tomuto datu bezpečnostní řízení o žádosti podnikatele probíhala. Faktorem výrazně ovlivňujícím počty podaných žádostí je dynamika podnikatelského prostředí (vznik nových obchodních společností a přeměny obchodních společností – podnikatelů, kteří přejímají realizace zakázek obsahujících utajované informace po společnostech, jež tímto způsobem trh uvolnily). Dalším takovým faktorem bylo také v roce 2010 provádění více bezpečnostních řízení k jednomu podnikateli z důvodu podání žádostí o vydání osvědčení podnikatele pro více stupňů utajení. Úřad v roce 2010 vydal celkem 304 osvědčení podnikatele. Tento počet zahrnuje osvědčení vydaná na základě provedeného bezpečnostního řízení o žádosti podnikatele o vydání osvědčení podnikatele podle § 96 zákona i osvědčení vydaná postupem podle § 56 odst. 4 zákona, tedy v případě odcizení, ztráty nebo poškození osvědčení podnikatele nebo při změně údajů v něm obsažených. 2.5.2. Statistické přehledy Přijaté ţádosti o vydání osvědčení podnikatele v roce 2010 Vyhrazené
Důvěrné
Tajné
Přísně tajné
Celkem
94
82
17
0
193
Stav zpracování ţádostí o vydání osvědčení podnikatele přijatých v roce 2010 Osvědčení vydáno
Osvědčení nevydáno
Řízení zastaveno
Probíhalo k 31.12.2010
Celkem
128
1
15
49
193
Vydaná osvědčení podnikatele v roce 2010 Vyhrazené
Důvěrné
Tajné
Přísně tajné
Celkem
132
127
45
0
304
21
Řízení o zrušení platnosti osvědčení podnikatele v roce 2010 Celkem zahájeno
Platnost zrušena
Řízení zastaveno
Probíhalo k 31.12.2010
100
61
30
9
Přijaté ţádosti o vydání osvědčení podnikatele v letech 2007 aţ 2010 120 100 80
Vyhrazené Důvěrné
60
Tajné Přísně tajné
40 20 0 2007
2008
2009
2010
Vydaná osvědčení podnikatele v letech 2007 aţ 2010 140 120 100 Vyhrazené
80
Důvěrné Tajné
60
Přísně tajné 40 20 0 2007
2008
2009
2010
2.5.3. Analýza důvodů nevydání osvědčení podnikatele V roce 2010 rozhodl Úřad v 8 bezpečnostních řízeních o žádosti podnikatele o nevydání osvědčení podnikatele. Z hlediska struktury spočívaly důvody nevydání osvědčení v nesplnění podmínky ekonomické stability /§ 16 odst. 1 písm. a) zákona/, nesplnění podmínky bezpečnostní spolehlivosti /§ 16 odst. 1 písm. b) zákona/ a souběhu nesplnění podmínky schopnosti zabezpečit ochranu utajovaných informací a podmínky držení platného osvědčení fyzické osoby odpovědnou osobou a prokuristy nejméně pro takový stupeň utajení, který odpovídá osvědčení podnikatele /§ 16 odst. 1 písm. c) a d) zákona/. V tomto období také Úřad rozhodl v 72 případech o zrušení platnosti osvědčení podnikatele (61 řízení zahájených v roce 2010 a 11 v roce 2009). Důvody a počty zrušených osvědčení podnikatele lze shrnout následovně: 22
nesplnění podmínky ekonomické stability – 1 případ,
nesplnění podmínky bezpečnostní spolehlivosti – 7 případů,
nesplnění podmínky schopnosti zabezpečit ochranu utajovaných informací – 9 případů,
nesplnění podmínky držení platného osvědčení fyzické osoby odpovědnou osobou a prokuristou nejméně pro takový stupeň, který odpovídá osvědčení podnikatele – 39 případů,
kombinace nesplnění více podmínek současně – 16 případů.
2.6. Bezpečnost informačních a komunikačních systémů a kryptografická ochrana Úřad odpovídá za provádění certifikace informačních systémů a za schvalování projektů bezpečnosti komunikačních systémů nakládajících s utajovanými informacemi a v roli národní bezpečnostní akreditační autority dále za akreditaci informačních systémů NATO a EU rozmístěných na území ČR. V oblasti kryptografické ochrany utajovaných informací Úřad provádí nebo zajišťuje výzkum, vývoj a výrobu národních kryptografických prostředků, vývoj a schvalování národních šifrových algoritmů, výzkum, vývoj, výrobu a distribuci kryptografických materiálů, certifikaci kryptografických prostředků, certifikaci kryptografických pracovišť a zkoušky zvláštní odborné způsobilosti pracovníků kryptografické ochrany. Úřad dále provádí měření kompromitujícího elektromagnetického vyzařování elektrických a elektronických zařízení nakládajících s utajovanými informacemi a zjišťuje způsobilost zabezpečených oblastí a objektů k ochraně před únikem utajovaných informací kompromitujícím elektromagnetickým vyzařováním. Do této oblasti činnosti patří také certifikace stínicích komor. Úřad odpovídá za rozvoj kryptologie a základní i aplikovaný výzkum v oblasti kryptografie, kryptoanalýzy, bezpečnosti informačních systémů a kompromitujícího vyzařování. V roce 2010 Úřad pracoval na dalším rozvoji bezpečnostních standardů k provádění certifikace kryptografických prostředků a zahájil zpracování nového bezpečnostního standardu pro provoz kryptografických prostředků třídy TCE 621. Průběžně byly zpracovávány metodické materiály zabývající se dílčími problémy zabezpečení informačních systémů, nastavením bezpečnostních charakteristik nejčastěji používaných operačních systémů a aktuálními problémy zástavby kryptografických prostředků do mobilních systémů pro zahraniční mise Armády ČR. Metodické materiály jsou zveřejňovány nebo poskytovány žadatelům o certifikaci
23
podle skutečné potřeby. Bezpečnostní standardy jsou poskytovány v souladu s jejich stupněm utajení a s uplatněním zásady „need-to-know“. Úřad se v oblasti ochrany utajovaných informací dále podílí na vytváření bezpečnostní legislativy systému Galileo v rámci GSA (GNSS Supervisory Authority) a GSB (Galileo Security Board). Na základě usnesení vlády se podílel na úspěšných snahách ČR o umístění sídla GSA do Prahy a na implementaci evropského navigačního systému a její veřejné regulované služby (Public Regulated Services) do národního prostředí. 2.6.1. Certifikační a akreditační činnost Nezbytnou zákonnou podmínkou pro používání informačních systémů, kryptografických prostředků, stínicích komor a zákonem stanovených kryptografických pracovišť při ochraně utajovaných informací je jejich certifikace. 2.6.1.1. Certifikace a akreditace informačních systémů K žádostem o certifikaci informačních systémů rozpracovaným v předchozím roce přibylo v roce 2010 dalších 116 žádostí, včetně žádostí o opakovanou certifikaci, a to jak ze státní správy, tak ze soukromé sféry. Bylo vydáno 102 certifikátů informačních systémů, ve 20 případech byl certifikační proces, zahájený v minulých letech, ukončen, a to buď skončením doby platnosti certifikátu nebo zcela bez vydání certifikátu (v 10 případech), zpravidla z vůle žadatele o certifikaci nebo pro nesplnění podmínek pro získání osvědčení podnikatele. Certifikace informačních systémů v roce 2010
Přijaté ţádosti
Ukončeno bez vydání certifikátu nebo uplynutím doby platnosti certifikátu
Vydané certifikáty
státní správa
podnikatelé
státní správa
podnikatelé
5
15
49
53
116
Přijaté ţádosti o certifikaci informačního systému v letech 2006 aţ 2010 140 120 100 80 ţádosti
60 40 20 0 2006
2007
2008
2009
24
2010
Vydané certifikáty informačních systémů v letech 2006 aţ 2010 70 60 50 40
státní správa podnikatelé
30 20 10 0 2006
2007
2008
2009
2010
Vydáním certifikátu informačního systému práce s tímto systémem nekončí, neboť zejména v rozsáhlých systémech je během doby platnosti certifikátu vyžadován určitý rozvoj a plánované změny musí být projednány a schváleny Úřadem. Před uplynutím doby platnosti certifikátu pak musí být certifikace pro další období opakována. Lze konstatovat, že v roce 2010 přibylo pouze 9 žádostí o certifikaci nově budovaného informačního systému ze státní správy a 19 ze soukromého sektoru. V rámci opakovaných certifikací již provozovaných informačních systémů byly však řešeny bezpečnostní problémy spjaté ze změnami použitých informačních technologií, rozšiřováním informačních systémů a s nasazováním prostředků kryptografické ochrany. To svědčí o určité stabilizaci, kdy informační systémy pro zpracování utajovaných informací jsou již většinou provozovány po více než jedno období platnosti certifikátu informačního systému. Nové požadavky se objevují zejména v souvislosti s úkoly Armády ČR v zahraničních misích, potřebou zpracovávat ve stávajících informačních systémech i utajované informace NATO a EU a potřebou využívat mobilní prostředky umožňující zpracování utajovaných informací (zástavby prostředků kryptografické ochrany do letadel, vrtulníků či transportérů). Kromě opakované certifikace menších informačních systémů v několika ministerstvech a úřadech proběhla opakovaná certifikace řady významných informačních systémů státní správy. V roce 2010 také byla dokončena certifikace informačního systému vládního utajeného spojení VEGA-D, vybudovaného Ministerstvem vnitra, který umožňuje nakládání s utajovanými informacemi do stupně utajení Důvěrné a doplňuje tak již dříve provozovaný informační systému vládního utajeného spojení VEGA-T, a dále rezortního informačního systému Ministerstva vnitra, nazvaného Beta. V roce 2010 Úřad zajistil pro Ministerstvo obrany národní akreditaci lokalit 2 systémů NATO, nutnou pro schválení jejich dalšího připojení ke klasifikovaným sítím NATO a podobně pro Ministerstvo vnitra národní akreditaci lokality informačního
25
systému Europolu. Zároveň byla příslušným orgánům NATO a EU pro bezpečnostní akreditaci vydána požadovaná prohlášení o shodě s bezpečnostními požadavky kladenými na tyto systémy. Stálou pozornost vyžaduje i hodnocení a schvalování změn prováděných v uvedených systémech. V rámci certifikace informačních systémů poskytovali zaměstnanci Úřadu žadatelům o certifikaci potřebné konzultace, nastavení bezpečnostních charakteristik operačních systémů a další informace potřebné pro zabezpečení určitého informačního systému. V řadě případů usměrňovali vývoj těchto systémů tak, aby byly certifikovatelné. 2.6.1.2. Certifikace kryptografických prostředků V roce 2010 bylo Úřadu podáno celkem 7 žádostí o certifikaci kryptografického prostředku. V řízeních k certifikaci kryptografického prostředku bylo vydáno celkem 5 certifikátů, 2 řízení byla ukončena bez vydání certifikátu. Úřad nadále prioritně prováděl certifikaci kryptografických prostředků umožňujících v národních sítích ČR současnou ochranu utajovaných informací nejen národních, ale i EU anebo NATO. Stav řízení je shrnut v následující tabulce. Certifikace kryptografických prostředků v roce 2010 Přijaté Probíhající řízení Ukonč. bez vydání certifikátu Vydané certifikáty Pro NATO a EU ţádosti státní správa podnikatelé státní správa podnikatelé státní správa podnikatelé NATO EU 7
1
13
0
2
5
0
3
Přijaté ţádosti o certifikaci kryptografického prostředku v letech 2006 aţ 2010 20
15
ţádosti
10
5
0 2006
2007
2008
2009
26
2010
1
Vydané certifikáty kryptografických prostředků v letech 2006 aţ 2010 16 14 12 10 státní správa
8
podnikatelé 6 4 2 0 2006
2007
2008
2009
2010
Úřad provedl opakovanou certifikaci kryptografických prostředků třídy SINA (BOX H, Klient P a Klient H), kryptografických prostředků třídy SC-70-CS a kryptografického prostředku SECTEL 9600 TORO v režimu zákaznického klíče. Pro kryptografické prostředky Datacryptor AP, DCrypt a SINA – BOX S Business, kterým v roce 2010 skončila platnost certifikace, nebyla již opakovaná certifikace vyžádána. Certifikace kryptografických prostředků SafeGuard Easy a SINA – Virtual Workstation S byla zastavena. Platnost certifikátu kryptografického prostředku KF-1 skončila dnem 31. prosince 2010, platnost certifikátu kryptografického prostředku SECTEL 9600 TORO v režimu veřejného klíče skončila dnem 11. října 2010. V obou těchto případech opakovaná certifikace nebyla již z bezpečnostních důvodů možná, a nebyla tudíž zahájena. V návaznosti na poznatky z provozu byly formou doplňků upraveny certifikační zprávy kryptografického prostředku KRYDEC XP a třídy kryptografických prostředků SINA a na zbývající dobu platnosti příslušného certifikátu také certifikační zpráva kryptografického prostředku SECTEL 9600 TORO v režimu veřejného klíče. Pro potřeby řešení ochrany utajovaných informací v mobilních sítích pokračoval proces certifikace dalších kryptografických prostředků. Certifikované kryptografické prostředky jsou nebo budou využívány především v rezortech Ministerstva obrany, Ministerstva vnitra, Ministerstva zahraničních věcí a ve zpravodajských službách. Spektrum kryptografických prostředků certifikovaných v ČR v základě pokrývá ochranu lokálního ukládání i přenosu utajovaných informací (národních, NATO, EU) v informačních systémech a ochranu hlasové komunikace v komunikačních systémech. Početně významné zastoupení mají kryptografické prostředky pro ochranu utajovaných informací v prostředí IP sítí, nadále však zůstávají zachovány linkové kryptografické prostředky. Pro potřebu řešení specifických požadavků
27
informačních systémů byly zahájeny aktualizace verzí softwarových kryptografických prostředků třídy HCrypt, vyvinutých Úřadem, pro předběžné šifrování. Pro hodnocení a certifikaci kryptografických prostředků jsou aplikovány standardy Úřadu, které vycházejí z národních zkušeností, mezinárodních standardů (CC a FIPS) i informací získaných na mezinárodních kryptografických konferencích. 2.6.1.3. Certifikace kryptografických pracovišť Většinu podaných žádostí o certifikaci kryptografických pracovišť tvořily žádosti o opakovanou certifikaci. Prvotní certifikace těchto kryptografických pracovišť byla provedena zejména v roce 2006. Z opakovaných certifikací mj. vyplynulo, že umístění převážné většiny kryptografických pracovišť a provoz na nich jsou v souladu s reálnými potřebami příslušných subjektů, bez potřeby jejich změn. Stav řízení je shrnut v následující tabulce: Certifikace kryptografických pracovišť v roce 2010 Přijaté ţádosti
Rozpracováno
Certifikováno
Zamítnuto
Státní správa
3
0
9
0
Podnikatelé
1
0
3
0
Celkem
4
0
12
0
Přijaté ţádosti o certifikaci kryptografického pracoviště v letech 2006 aţ 2010 20 18 16 14 12 10
státní správa
8
podnikatelé
6 4 2 0 2006
2007
2008
2009
28
2010
Vydané certifikáty kryptografických pracovišť v letech 2006 aţ 2010 16 14 12 10 státní správa
8
podnikatelé 6 4 2 0 2006
2007
2008
2009
2010
2.6.1.4. Certifikace stínicích komor Hlavní objem certifikačních měření a hodnocení útlumu stínicích komor byl prováděn pro organizační složky státu v ČR a pro Ministerstvo zahraničních věcí v zahraničí (na zastupitelských úřadech). Díky tomu, že příslušné pracoviště Úřadu bylo vybaveno další technikou, bylo možné plnit požadavky Ministerstva zahraničních věcí v přiměřených lhůtách. Celkem bylo vydáno 26 certifikátů stínicích komor, přičemž bylo využíváno i podkladů z měření provedených pracovníky Ministerstva zahraničních věcí na základě smlouvy o zajištění činnosti. 2.6.2. Další odborná činnost 2.6.2.1. Výroba kryptografického materiálu Relevantní oblastí v oblasti kryptografické ochrany je výroba kryptografického materiálu (programování procesorových a paměťových modulů, generování kryptografických klíčů a hesel ke kryptografickým prostředkům) určeného pro Úřad a orgány státu k zajištění ochrany utajovaných informací v komunikačních a informačních systémech. V této oblasti Úřad spolupracoval s odborem bezpečnosti Ministerstva obrany, který zabezpečuje generování, speciální balení a distribuci kryptografických klíčových materiálů pro kryptografické prostředky provozované v rámci rezortu Ministerstva obrany a výrobu některých kryptografických klíčových materiálů ve prospěch Úřadu. V roce 2010 bylo v Úřadu vygenerováno téměř sto tisíc kryptografických klíčů a hesel uložených na nosičích různých typů. Úřad vzal do evidence a provedl distribuci celkem 891 ks nového kryptografického a CCI materiálu a dále zajistil servis a opravy téměř 100 kusů kryptografických prostředků na území ČR i v zahraničí.
29
Dále Úřad zajišťoval speciální balení a distribuci kryptografického materiálu, vedení ústřední evidence certifikovaných kryptografických prostředků dislokovaných u orgánů státu, jakož i centrální databáze všech pracovníků kryptografické ochrany v působnosti Úřadu. 2.6.2.2. Měření kompromitujícího vyzařování (TEMPEST) 2.6.2.2.1. TEMPEST měření elektronických zařízení Úřad prováděl v roce 2010 TEMPEST měření podle standardů NATO řady SDIP, EU řady Tech-P-04 a podle metodiky MIL-STD 461. Objektem měření byla především zařízení orgánů státu. Jednalo se jak o měření komerčních zařízení, většinou pro účely výběrových řízení, tak speciálních informačních systémů. Celkem bylo v roce 2010 hodnoceno více než 100 zařízení. Z toho bylo prováděno TEMPEST měření více než 30 ks zařízení STEP, EUROTEMPEST a Siltec, a to jako samostatného zařízení nebo v kombinaci s kryptografickým prostředkem KRYDEC. Tato měření byla prováděna dle metodiky standardu SDIP27/A. Většina zařízení splňovala požadavky tohoto standardu. Další TEMPEST měření byla prováděna v rámci certifikace nebo akreditace informačních systémů pro zpracování utajovaných informací stupně utajení Důvěrné nebo Tajné, buď pro orgány státu (Úřad vlády, Ministerstvo zahraničních věcí, Ministerstvo obrany, Ministerstvo vnitra, Ministerstvo průmyslu a obchodu, zpravodajské služby, krajské úřady aj.), nebo pro podnikatele. 2.6.2.2.2. Zónové měření, obranně technické prohlídky Úřad dále prováděl ohodnocování prostorů, ve kterých se nacházejí zařízení zpracovávající utajované informace, metodou zónového měření. Zónová měření byla prováděna pro státní správu i pro soukromé subjekty v rámci certifikace informačních systémů. V roce 2010 byly provedeny obranně technické prohlídky v několika objektech na základě žádostí orgánů státní správy. 2.6.2.2.3. Přehled provedených měření Přehled měření v oblasti kompromitujícího vyzařování, provedených v roce 2010, je uveden v následující tabulce:
30
Měřená zařízení a objekty v roce 2010 Typ měření
5
Počet
Zónové měření
20 objektů + vojenské kontejnery
Kryptografické prostředky PC sestavy
1 typ 3 typy – třída 0; přes 20 typů – třída 1 a 2 2 typy zařízení
Audio technika Obranně technické prohlídky
4 objekty
Mobilní systémy
2 systémy
2.6.2.3. Schvalování projektů bezpečnosti komunikačních systémů V roce 2010 byly opakovaně schváleny projekty bezpečnosti 3 komunikačních systémů provozovaných Ministerstvem vnitra a Ministerstvem obrany. Činnost 2 komunikačních systémů byla zastavena z důvodu definitivního skončení platnosti certifikátu v nich používaného kryptografického prostředku KF-1. Nové žádosti o schválení projektu bezpečnosti komunikačního systému nebyly v roce 2010 podány. Na podporu efektivního plnění úkolů státní správy Úřad v roce 2010 zpracoval dokumentaci k variantám provozování komunikačního systému MODUS, využívajícího certifikované kryptografické prostředky SECTRA TIGER XS (přídavný kryptografický modul k mobilnímu telefonu), umožňující mobilní telefonii pro utajované informace do stupně utajení Tajné. Úřad provozuje středisko pro řízení vzniklé komunikační sítě a řízení rezortních sítí konfigurovaných podle vlastního návrhu rezortu. 2.6.2.4. Školení pracovníků kryptografické ochrany a zkoušky odborné způsobilosti Úřad v roce 2010 organizačně zajistil a provedl, v souladu se zákonem, celkem 10 školení skupin pracovníků kryptografické ochrany a po zkoušce odborné způsobilosti vydal 104 osvědčení o zvláštní odborné způsobilosti pracovníka kryptografické ochrany. Kromě toho probíhají další školení na Ministerstvu vnitra, Ministerstvu obrany a Ministerstvu zahraničních věcí na základě smluv uzavřených mezi Úřadem a uvedenými ministerstvy. Úřad v roce 2010 schvaloval aktualizaci osnov a obsahu některých kurzů. 2.6.3. Problémové oblasti bezpečnosti informačních a komunikačních systémů a kryptografické ochrany Problémy při zabezpečování zákonem stanovených činností Úřadu v oblasti kryptografické ochrany a certifikace informačních systémů nakládajících 5
U zónového měření se jedná o objekty; v rámci jednoho objektu bylo měřeno více místností nebo budov. U kryptografických prostředků se jednalo i o ověřovací měření. U PC sestav třídy 1 a 2 se jednalo i o měření v rámci výběrových řízení např. pro Ministerstvo vnitra.
31
s utajovanými informacemi uvedené ve zprávě o činnosti Úřadu za rok 2009 se v roce 2010 podařilo vyřešit jen částečně.
Vzhledem k tomu, že ani v roce 2010 nedošlo ke schválení novely zákona, opírá se používání označení určitého typu kryptografického materiálu jako „kontrolovaná kryptografická položka“ (CCI) a zacházení s tímto materiálem i nadále pouze o dočasný bezpečnostní standard. Ze stejných důvodů stále v české legislativě chybí pojem „taktická informace“ umožňující využívat pro ochranu určitého typu utajovaných informací (zejména informací krátkodobého významu) levnější kryptografické prostředky.
Národní certifikace některých kryptografických prostředků, vyvinutých a certifikovaných v některé členské zemi NATO nebo EU (zejména v Německu), vázne v určitých případech na pomalé reakci NCSA příslušné země na žádost Úřadu o poskytnutí podkladů z jím provedeného hodnocení kryptografického prostředku pro provedení certifikace Úřadem. Podobně dosud nebylo dosaženo pokroku v úpravě obsahu smlouvy mezi Úřadem a BSI, který neumožňuje provést úpravu kryptografického prostředku z rodiny SINA v rozsahu potřebném pro jeho nacionalizaci. Zároveň jsou v oblasti nacionalizace kryptografických prostředků zkoumány další možnosti.
V roce 2010 byla již v Úřadu kvalitně obsazena všechna přidělená pracovní místa pro činnosti Úřadu uložené mu zákonem v oblasti bezpečnosti informačních systémů a kryptografické ochrany. Koncem roku se opět projevil problém opakujících se odchodů mladých pracovníků z oblasti kryptologie po dosažení jejich pro Úřad přínosného výkonu, z důvodu finančního ohodnocení nebo z osobních důvodů. Jako problém se na druhé straně jeví i nedostatek tabulkových míst pro zajišťování některých rozšiřujících se činností, zejména v oblasti šifrové služby.
Z hlediska zajištění praktické ochrany utajovaných informací v informačních nebo komunikačních systémech a zajištění kryptografické ochrany byl i v roce 2010 problémem nedostatek odborníků v oboru informačních technologií, splňujících podmínky pro přístup k utajované informaci stupňů utajení Důvěrné, Tajné a Přísně tajné v celé státní správě. Důsledkem je, že stejné osoby zastávají funkce ve správě a bezpečnostní správě několika informačních nebo komunikačních systémů nebo více funkcí v určitém informačním systému. Pozitivním momentem je, že je již naplňován požadavek NATO a EU, aby v klíčových rolích ve správě informačních systémů nakládajících s utajovanými informacemi NATO a EU působily osoby prověřené pro přístup k utajovaným informacím o stupeň vyšším, nežli je stupeň utajení v daném systému zpracovávaných utajovaných informací.
2.7. Administrativní a fyzická bezpečnost, ústřední registr 2.7.1. Administrativní bezpečnost
32
Na základě žádostí podnikatelů o vydání osvědčení podnikatele byly z hlediska administrativní bezpečnosti především posuzovány bezpečnostní dokumentace podnikatelů a aktualizované bezpečnostní dokumentace podnikatelů, kteří jsou držiteli osvědčení podnikatele. V rámci probíhajících bezpečnostních řízení bylo u podnikatelů prováděno ověřování, zda je podnikatel připraven k přijmu, tvorbě, evidenci a jinému nakládání s utajovanými dokumenty. Posouzené bezpečnostní dokumentace a realizované dohlídky v roce 2010 Bezpečnostní dokumentace
Realizované dohlídky
65
57
2.7.2. Fyzická bezpečnost V oblasti fyzické bezpečnosti Úřad, vedle své hlavní činnosti, kterou je certifikace technických prostředků, posuzování projektů fyzické bezpečnosti podnikatelů, ověřování připravenosti podnikatelů zabezpečit ochranu utajovaných informací z hlediska fyzické bezpečnosti a výkon státního dozoru, dále realizoval:
činnosti spojené s členstvím v certifikační radě TrezorTestu (účast na výrobních auditech cca 8 firem v rámci ČR, účast na certifikačních radách a účast při provádění zkoušek na mechanických zábranných systémech dle příslušných norem);
účast v technické normalizační komisi (TNK124) pro EZS a EPS při zavádění evropských norem a aktualizaci stávajících norem;
provádění metodické pomoci v instalaci technických prostředků.
2.7.2.1. Certifikace technických prostředků Nezbytnou zákonnou podmínkou pro používání technických prostředků k ochraně utajovaných informací je mj. i jejich certifikace. Úřad v roce 2010 přijal celkem 156 žádostí o certifikaci pro 454 technických prostředků. V rámci posuzovaní a vyhodnocování podkladů pro certifikaci bylo u 40 % žádostí vyžádáno jejich doplnění a upřesnění. V 15 případech byl certifikační proces ukončen bez vydání certifikátu, a to především v případě podání žádosti o certifikaci výrobku, který certifikaci nepodléhá. Úřad vydal celkem 399 certifikátů technických prostředků. Rozdíl mezi počtem výrobků, na které je žádána certifikace, a počtem vydaných certifikátů je způsoben slučováním více technických prostředků obdobných vlastností na jeden certifikát. K 1. lednu 2011 zbývalo posoudit ještě 7 žádostí o certifikaci pro 16 technických prostředků, které byly Úřadu doručeny v prosinci 2010. Počty vydaných certifikátů technických prostředků podle jednotlivých skupin definovaných zákonem jsou uvedeny v následující tabulce.
33
Vydané certifikáty technických prostředků v roce 2010 Technické prostředky Mechanické zábranné prostředky
Vydané certifikáty
6
122
Elektrická zámková zařízení, systémy pro kontrolu vstupů
7
10 8
Zařízení elektrické zabezpečovací signalizace a tísňové systémy Speciální televizní systémy
157
9
27
Zařízení elektrické poţární signalizace
10
5
Zařízení slouţící k vyhledávání nebezpečných látek nebo předmětů Zařízení fyzického ničení nosičů informací
11
6
12
60
Zařízení proti pasivnímu a aktivnímu odposlechu utajované informace
13
Celkem
2 389
Certifikáty technických prostředků v roce 2010
27
5
mechanické zábranné prostředky
6
60
elektrická zámková zařízení, systémy EKV
2
zařízení EZS, tísňové systémy speciální televizní systémy zařízení elektrické poţární signalizace zařízení k vyhledávání nebezpečných látek nebo předmětů zařízení fyzického ničení nosičů informací
157
122
zařízení proti odposlechu utajované informace
10
6
§ 30 odst. 1 písm. a) zákona. § 30 odst. 1 písm. b) zákona. 8 § 30 odst. 1 písm. c) a e) zákona. 9 § 30 odst. 1 písm. d) zákona. 10 § 30 odst. 1 písm. f) zákona. 11 § 30 odst. 1 písm. g) zákona. 12 § 30 odst. 1 písm. h) zákona. 13 § 30 odst. 1 písm. i) zákona. 7
34
Certifikace technických prostředků v letech 2006 aţ 2010 1200 1000 800 přijaté ţádosti
600
vydané certifikáty 400 200 0 2006
2007
2008
2009
2010
Kromě certifikátů uvedených v tabulce a grafech bylo v roce 2010 dále, na základě podaných žádostí, vydáno 10 certifikátů pro jednotlivé technické prostředky – uživatelské certifikáty. Tyto žádosti jsou podávány uživateli, kteří si zajistí vlastní posudek na konkrétní technický prostředek nasazený pro ochranu utajovaných informací. Vývoj počtu vydaných uživatelských certifikátů technických prostředků v období účinnosti zákona zobrazuje následující graf. Uţivatelské certifikáty technických prostředků v letech 2006 aţ 2010 35 30 25 20 vydané certifikáty
15 10 5 0 2006
2007
2008
2009
2010
2.7.2.2. Posuzování projektů fyzické bezpečnosti V rámci bezpečnostního řízení o vydání osvědčení podnikatele nebo po aktualizaci bezpečnostní dokumentace podnikatele bylo v roce 2010 přijato celkem 129 žádostí o stanovisko k projektům fyzické bezpečnosti. Při posuzování projektů musela být v 65 % případů provedena konzultace s podnikatelem v Úřadu nebo přímo v sídle podnikatele. Bylo posouzeno 120 projektů fyzické bezpečnosti a bylo provedeno 79 tzv. dohlídek, při kterých byla v sídle podnikatele ověřována připravenost žadatele zabezpečit ochranu utajovaných informací z hlediska fyzické bezpečnosti. K 1. lednu 2011 zbývá posoudit 9 projektů fyzické bezpečnosti. Přehled
35
přijatých žádostí, členěný podle kategorií zabezpečených oblastí, je uveden v následující tabulce. Přijaté ţádosti a posouzené projekty fyzické bezpečnosti v roce 2010 Vyhrazené
Důvěrné
Tajné
Přísně tajné
Celkem
Přijaté ţádosti
47
65
17
0
129
Posouzené projekty
46
58
16
0
120
2.7.2.3. Problémové oblasti fyzické bezpečnosti
Nekompletní podklady k žádosti o certifikaci technického prostředku.
Nedostatky ve zpracování projektu fyzické bezpečnosti – úplnost, chybné hodnocení použitých opatření fyzické bezpečnosti.
2.7.3. Ústřední registr V roce 2010 vykonával ústřední registr evidenci a ukládání utajovaných informací poskytnutých cizí mocí. Zejména se jednalo o utajované informace NATO. U vybraných dokumentů pak prováděl jejich distribuci podřízeným registrům utajovaných informací, zřízeným v rámci ústředních orgánů státní správy nebo podnikatelů. V rámci kontrolní činnosti ústředního registru bylo provedeno 26 kontrol podřízených registrů utajovaných informací. V rámci metodického řízení byla v roce 2010 provedena 2 metodická školení vedoucích registrů, která byla zaměřena na bezpečnost utajovaných informací cizí moci uložených v registrech. U utajovaných dokumentů cizí moci, u kterých uplynula skartační lhůta, bylo provedeno skartační řízení. Ústřední registr rovněž ověřoval splnění podmínek nezbytných pro zřízení registru utajovaných informací u subjektů, které podaly žádost o zřízení registru utajovaných informací cizí moci.
2.8. Opravné prostředky 2.8.1. Bezpečnostní řízení V roce 2010 rozhodoval ředitel Úřadu o opravných prostředcích ze strany fyzických osob a podnikatelů podaných podle příslušných ustanovení zákona formou rozkladu proti následujícím rozhodnutím Úřadu
rozhodnutí o nevydání osvědčení fyzické osoby nebo osvědčení podnikatele,
36
rozhodnutí o zrušení platnosti osvědčení fyzické osoby nebo osvědčení podnikatele,
rozhodnutí o zastavení bezpečnostního řízení.
O podaných rozkladech rozhodoval ředitel Úřadu vždy na základě návrhu rozkladové komise, která byla, v souladu s § 130 zákona, ustavena ke dni 1. ledna 2006. Lhůta k rozhodnutí o rozkladu, kterou zákon v ustanovení § 130 odst. 6 stanoví v délce 3 měsíců, nebyla v žádném z případů překročena. Rozhodnutí ředitele Úřadu o rozkladu lze napadnout správní žalobou, o níž rozhoduje Městský soud v Praze. Proti rozhodnutí Městského soudu v Praze je dále možno podat kasační stížnost, o níž rozhoduje Nejvyšší správní soud. 2.8.1.1. Statistické přehledy 2.8.1.1.1. Rozklady Rozklady proti rozhodnutím Úřadu v oblasti bezpečnostního řízení (rozhoduje ředitel Úřadu) Rok
Dosud nerozhodnuto
Vyhověno
Zamítnuto
Zastaveno
Celkem
2009
0
14
17
0
31
2010
2
13
32
1
48
Rozklady proti rozhodnutím Úřadu v oblasti bezpečnostního řízení v letech 2006 aţ 2010 160 140 120 100 počet podání
80
z toho vyhověno*
60 40 20 0 2006
2007
2008
2009
2010
* u rozkladů podaných v roce 2010 dosud nebylo rozhodnuto ve 2 případech
Řízení o rozkladu v roce 2010 1
32
2
Řízení o rozkladu v letech 2006 – 2010 2 1
13
113
vyhověno
vyhověno
zamítnuto
zamítnuto
zastaveno
zastaveno
nerozhodnuto
191
37
nerozhodnuto
2.8.1.1.2. Ţaloby správní Ţaloby proti rozhodnutím ředitele Úřadu o rozkladu (2006 – 2010) (rozhoduje Městský soud v Praze) Celkem
Dosud nerozhodnuto
Řízení zastaveno
Vyhověno
Zamítnuto
Odmítnuto
62
16
9
10
26
1
2.8.1.1.3. Kasační stíţnosti Kasační stíţnosti proti rozhodnutím Městského soudu v Praze o zamítnutí ţaloby (2006 – 2010) (rozhoduje Nejvyšší správní soud v Brně) Celkem
Dosud nerozhodnuto
Řízení zastaveno
Vyhověno
Zamítnuto
Odmítnuto
14
4
0
1
7
2
Kasační stíţnosti Úřadu proti rozhodnutím Městského soudu v Praze o vyhovění ţalobě (2006 – 2010) (rozhoduje Nejvyšší správní soud v Brně) Celkem
Dosud nerozhodnuto
Řízení zastaveno
Vyhověno
Zamítnuto
Odmítnuto
1
0
0
1
0
0
2.8.1.2. Hodnocení rozhodovací praxe Úřadu Jak vyplývá z výše uvedených údajů, Městský soud v Praze rozhodoval zatím ve 46 případech o žalobách proti rozhodnutí ředitele Úřadu o rozkladu, přičemž 10 z nich shledal důvodnými. „Úspěšnost“ Úřadu tedy činí cca 78 %. 2.8.2. Správní řízení o pokutě V roce 2010 rozhodoval ředitel Úřadu rovněž o opravných prostředcích – rozkladech – uplatněných ze strany fyzických a právnických osob ve správním řízení pro porušení povinností v oblasti ochrany utajovaných informací. O podaných rozkladech rozhodoval ředitel Úřadu dle příslušných ustanovení zákona č. 500/2004 Sb., správní řád, a to vždy na základě návrhu rozkladové komise ustavené v souladu s § 152 odst. 2 správního řádu. Stejně jako v bezpečnostním řízení, i ve správním řízení o pokutě je možno rozhodnutí ředitele o rozkladu napadnout správní žalobou, o níž rozhoduje Městský soud v Praze. Proti rozhodnutí Městského soudu v Praze je možno dále podat kasační stížnost, o níž rozhoduje Nejvyšší správní soud.
38
Konkrétně se v roce 2010 jednalo o 2 rozklady. V 1 případě byl rozklad zamítnut, přičemž účastník řízení podal proti rozhodnutí ředitele Úřadu žalobu k Městskému soudu v Praze, o níž dosud nebylo rozhodnuto. Ve druhém případě bylo rozkladu částečně vyhověno (výše pokuty byla snížena), žaloba podána nebyla. 2.8.3. Řízení dle zákona č. 106/1999 Sb., o svobodném přístupu k informacím V roce 2010 rozhodoval ředitel Úřadu též o opravných prostředcích – rozkladech – uplatněných v řízení dle zákona č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů, proti rozhodnutí Úřadu o odmítnutí žádosti o poskytnutí informace. O podaných rozkladech rozhoduje ředitel Úřadu dle příslušných ustanovení zákona č. 106/1999 Sb. a zákona č. 500/2004 Sb., správní řád, a to vždy na základě návrhu rozkladové komise ustavené v souladu s § 152 odst. 2 správního řádu. Konkrétně se v roce 2010 jednalo o 1 rozklad proti rozhodnutí Úřadu o odmítnutí žádosti o podání informace, jemuž ředitel Úřadu vyhověl.
2.9. Výzkumná a vývojová činnost Úřadu 2.9.1. Cíle a organizace výzkumu a vývoje Základním cílem v oblasti výzkumu a vývoje je další rozvoj bezpečnostních technologií pro ochranu utajovaných informací v komunikačních a informačních systémech. V důsledku rychlého rozvoje informačních technologií se stále zvyšuje náročnost výzkumu a vývoje v oblasti bezpečnosti informačních technologií. Z hlediska dostupných lidských zdrojů je nezbytné využívat pro řešení vývojových a výzkumných úkolů i externí odborná pracoviště a jednotlivé odborníky, čímž jsou částečně uvolňovány omezené vlastní kapacity Úřadu pro ty výzkumně-vývojové práce, které nemohou být (např. z důvodu utajení) řešeny mimo Úřad. Výzkum a vývoj byl proto prováděn nejen na odborných pracovištích Úřadu, ale široce také na základě smluv o dílo financovaných z rozpočtu Úřadu. Vzhledem ke snaze dosáhnout co nejrychleji prakticky využitelných výsledků byly v roce 2010 zahájeny většinou projekty navazující na vývojové stádium dosažené v předešlém roce a vyžadující k řešení podnikatele, kteří jsou držiteli osvědčení podnikatele pro přístup k utajovaným informacím. Z toho důvodu nebyla v roce 2010 zapojena do výzkumné činnosti zajišťované Úřadem vysokoškolská pracoviště. Využívání finančních prostředků se soustředilo na výzkumné aktivity, které vycházejí vstříc reálným potřebám bezpečnostní praxe, a to v oblasti kryptografické ochrany, ochrany proti úniku utajovaných informací kompromitujícím vyzařováním a počítačové bezpečnosti. Tyto potřeby zjišťuje Úřad při své certifikační a konzultační činnosti, při jednáních se zástupci orgánů státní správy, při výkonu státního dozoru i vyhodnocením speciálních dotazníků z oblasti kryptografické ochrany předkládaných klíčovým rezortům státní správy.
39
V roce 2010 Úřad aktualizoval svou koncepci dalšího rozvoje výzkumu a vývoje v oblasti kryptografické ochrany utajovaných informací. Záměrem je její další vývoj v roce 2011 ve spolupráci zejména s těmi rezorty státní správy, pro které je kryptografická ochrana utajovaných informací nezbytná. 2.9.2. Přehled projektů realizovaných formou smlouvy o dílo 2.9.2.1. Projekty započaté a ukončené v roce 2010
Komplexní kryptografická implementací NA do LANPCS
ochrana
osobního
počítače
s HW
Provedení zejména implementace národního algoritmu (NA) do hradlového pole LANPCS se zvýšenou ochranou proti útokům ze strany LAN, unifikace implementací NA v PCS1 a LANPCS, vývoj střediska verze 2 pro klíčovou správu.
Vývoj rozšířených funkcí prototypů kryptografických prostředků PCS a LANPCS s národními kryptografickými funkcemi Cílem projektu byl vývoj některých dalších funkcí kryptografických prostředků PCS a LANPCS s národními kryptografickými funkcemi (např.on-line vzdálený dohled), provedení analýzy rizik nasazení kryptografického prostředku LANPCS v reálném prostředí, ověření kompatibility obou prostředků s PC různých výrobců, realizace modelového pracoviště v Úřadu.
Aktivní a pasivní metody eliminace získávání z kompromitujícího elektromagnetického vyzařování
informací
Provedení analýzy současných metod získávání informací z kompromitujícího vyzařování, rozbor aktivních i pasivních protiopatření.
Datová dioda Návrh využití datové diody pro automatický jednosměrný přenos dat z vnějšího prostředí do zabezpečeného informačního systému a jeho konkrétní realizace s využitím datové diody hodnocené NATO v podmínkách Úřadu. Řešení je obecně využitelné.
2.9.2.2. Projekty započaté v roce 2010 s ukončením v roce 2011
Vývoj prototypu osobního kryptografického prostředku Cílem projektu je vývoj malého externího šifrovacího zařízení, které se připojí k PC přes rozhraní USB, a to v kancelářské verzi a zodolněné verzi do prostředí vojenských misí.
40
Vývoj prototypu mobilního telefonu Cílem projektu je vývoj kompletního mobilního telefonu pro síť GSM s národními kryptografickými funkcemi.
Vývoj systému pro měření stínicích komor v rozšířeném kmitočtovém pásmu Provedení kompletního vývoje automatizovaného systému pro měření útlumu stíněných prostorů, umožňujícího měřit magnetickou i elektrickou složku elektromagnetického pole a vložený útlum vestavěných filtrů v požadovaném frekvenčním rozsahu a v souladu s ČSN EN 50 147-1.
2.9.3. Vlastní výzkum a vývoj v Úřadu Vlastní výzkum a vývoj byl v roce 2010 prováděn na 3 odborných pracovištích Úřadu – kryptologickém, TEMPEST a certifikačním. Rámcem pro výzkum a vývoj byl výzkumný záměr „Výzkum speciálních bezpečnostních technologií k ochraně utajovaných informací na rok 2010“. Kryptologický výzkum a vývoj se zaměřil zejména do oblasti implementace, verifikace, testování a hodnocení národních kryptografických algoritmů a jejich komponent, dále byla v širokém měřítku řešena oblast finalizací národních kryptografických prostředků a SW kryptografických aplikací národních i zahraničních. Byla vytvořena řada programů a modelových pracovišť pro implementaci, verifikaci a testování kryptografického SW a HW. V souladu s potřebami jednotlivých řešení vývojových projektů bylo dále posilováno a zefektivňováno technologické vybavení vývojových, překladových, testovacích a měřících laboratoří. Na pracovišti TEMPEST byly provedeny dílčí výzkumné činnosti zaměřené na metodiku zónového měření, metodiku měření útlumových vlastností UPS a filtrů, metodiku měření kompromitujících signálů u speciálních komponentů IS (scanner, projektor) a na problematiku detekce nelineárních polovodičových přechodů. Pokračovalo budování mobilního systému pro TEMPEST měření. Provedeny byly další úpravy měřícího vozidla Multivan umožňující vytvoření mobilního pracoviště pro různé typy TEMPEST měření včetně nového mechanického řešení. V souladu s výzkumným záměrem byla na certifikačním pracovišti provedena analýza mezinárodních standardů pro bezpečné mazání paměťových médií s možností jejich následné deklasifikace. Analýze byly podrobeny následující standardy:
AC/322(SC/4)AHWG/2)WP(2009)0001-REV5, INFOSEC Technical Implementation Directive on the Downgrading, Declassification Destruction of System Equipment and Storage Media,
41
and and
AC/322(SC/4-AHWG/2)WP(2010)0001-REV3, INFOSEC Technical and Implementation Guidance on Downgrading, Declassification and Destruction of System Equipment and Storage Media,
HMG IA Standard No. 5, Secure Sanitisation of Protectively Marked or Sensitive Information, Issue No: 2.1, October 2008, CESG, UK National Technical Authority for Information Assurance,
NIST Special Publication 800-88, Guidelines for Media Sanitization.
Na základě provedené analýzy byl zpracován pracovní návrh implementace těchto standardů v národních podmínkách. Tento návrh bude nejprve podroben vnitřnímu připomínkovému řízení a následně připomínkovému řízení u vybraných externích organizací (především Ministerstvo obrany, Ministerstvo vnitra, zpravodajské služby aj.). V oblasti testování a hodnocení nástrojů k provádění analýzy rizik byl proveden nákup a instalace následujících produktů:
RISKAN ver. 2,0, T-SOFT a. s.,
GSTOOL ver. 4.5, Bundesamt für Sicherheit in der Informationstechnik (BSI),
EAR/PILAR, National Cryptologic Centre, Spanish National Security Agency.
Testování uvedených nástrojů bude probíhat i v následujícím roce. Po ukončení testování bude zpracováno doporučení k používání uvedených nástrojů při provádění analýzy rizik v informačních systémech podléhajících certifikaci Úřadem.
2.10. Státní dozor Na základě § 137 písm. b) zákona vykonává Úřad v oblasti ochrany utajovaných informací a bezpečnostní způsobilosti státní dozor, čímž se rozumí dozor nad tím, jak orgány státu, podnikatelé a fyzické osoby dodržují právní předpisy v dané oblasti. Podle zákona státnímu dozoru nepodléhá činnost zpravodajských služeb a ve stanovených případech činnost Ministerstva vnitra. Cílem státního dozoru je především zjistit skutečný stav ochrany utajovaných informací, resp. zajištění bezpečnostní způsobilosti u kontrolovaných osob, ověřit praktickou aplikaci právních norem upravujících kontrolovanou oblast a zároveň přispět k zabezpečení ochrany utajovaných informací předcházením neoprávněnému nakládání s utajovanými informacemi a k posilování právního vědomí kontrolovaných osob a sjednocování způsobu aplikace právních předpisů v této oblasti.
42
2.10.1. Kontroly provedené v roce 2010 V roce 2010 provedl Úřad celkem 33 kontrol ochrany utajovaných informací, z toho 11 v orgánech státu a jejich složkách a 22 u podnikatelů. Kontroly byly prováděny na základě plánů kontrol schvalovaných ředitelem Úřadu na jednotlivá pololetí roku 2010. Na základě získaných poznatků nebo na základě vnějších podnětů byly do plánu kontrol průběžně zařazovány mimořádné tématické kontroly zaměřené na ověření dodržování konkrétních povinností orgánů státu, podnikatelů a jejich zaměstnanců. S výjimkou mimořádně zařazených kontrol byly všechny kontroly zaměřeny na ověření skutečného stavu ve všech druzích zajištění ochrany utajovaných informací, které byly jednotlivými kontrolovanými osobami realizovány. Přehled kontrolních akcí uskutečněných v roce 2010 je uveden v následujících tabulkách. Kontroly v orgánech státu a jejich součástech v roce 2010 Kontrolovaná osoba
Kontrolovaná osoba
Hasičský záchranný sbor hlavního města Prahy
MZV – zastupitelský úřad ČR v Kyjevě
Nejvyšší kontrolní úřad
Celní správa ČR
Okresní soud v Příbrami Okresní státní zastupitelství v Příbrami
Ministerstvo obrany (Kancelář náčelníka Generálního štábu Armády ČR)
Krajské ředitelství policie Středočeského kraje
MZV – zastupitelský úřad ČR v Moskvě
Ministerstvo vnitra (Útvar zvláštních činností)
Ministerstvo financí
Kontroly u podnikatelů v roce 2010 Kontrolovaná osoba ICZ a. s.
Kontrolovaná osoba
SITEL, spol. s r. o.
MOTA-ENGIL CENTRAL EUROPE Česká republika, a. s.
Colsys s. r. o.
DMS s. r. o.
PKE ČR s. r. o.
EBIS, spol. s r. o.
VOP-026 Šternberk, s. p. – divize VTÚO Brno
Česká pošta, s. p.
VOP-026 Šternberk, s. p. – divize VTÚPV Vyškov
ASTOR – KOMPLEX, s. r. o.
VOP-026 Šternberk, s. p. – divize VTÚVM Slavičín RETIA, a. s. ALES, s. r. o.
ELTES, s. r. o.
S.ICZ a. s.
LOM PRAHA s. p.
Řízení letového provozu České republiky, státní podnik
TECHNISERV, spol. s r. o.
ČEPS a. s.
ATS-TELCOM PRAHA a. s.
SEOS CZ s. r. o.
V následujících grafech jsou znázorněny počty a poměr jednotlivých typů kontrol (periodické kontroly, kontroly na základě vnějšího nebo vnitřního podnětu,
43
následné kontroly zaměřené na ověření odstranění nedostatků zjištěných při předcházející kontrole) v období od začátku účinnosti zákona do konce roku 2010. Kontroly v letech 2006 aţ 2010 25
20
15 orgány státu podnikatelé
10
5
0 2006
2007
2008
2009
Důvod provedení kontrol – orgány státu
Důvod provedení kontrol – podnikatelé
1
12
2010
4
0
periodické
periodické
na podnět
na podnět
následné
následné
63
53
2.10.2. Výsledky kontrol Nedostatky zjištěné při kontrolách vyplývaly z porušení nebo nedodržení jednotlivých ustanovení zákona a dalších právních předpisů a byly uváděny jako kontrolní zjištění v protokolech o jednotlivých kontrolách. Z celkového počtu 33 kontrol provedených v roce 2010 nebyly nedostatky zjištěny pouze v 6 případech (18 %). Ve 14 případech (42 %) byly podány podněty k zahájení správního řízení pro podezření ze spáchání přestupku nebo správního deliktu. Nedostatky zjišťované při výkonu státního dozoru se, jako v předcházejících letech, objevovaly téměř ve všech oblastech ochrany utajovaných informací. Jejich příčinou bylo ve většině případů selhání lidského činitele. Při kontrolách provedených v roce 2010 byly zjištěny zejména následující typy nedostatků (řada z nich však vznikla již v období před rokem 2010): Obecné nedostatky
nestanovení stupně utajení utajované informace;
vyznačení stupně neobsahoval;
utajení
na
dokument,
44
který
utajované
informace
poskytnutí utajované informace podnikateli, který nesplňoval všechny zákonem stanovené podmínky pro přístup k utajovaným informacím,
vnitřním předpisem stanovený postup pro zajištění ochrany utajovaných informací, který byl v rozporu s právní úpravou ochrany utajovaných informací. Personální bezpečnost
přístup fyzické osoby k utajované informaci, přestože nesplňovala všechny zákonem stanovené podmínky pro tento přístup;
nezaslání výtisku poučení Úřadu podle § 11 odst. 2 zákona;
neprovedení ověření, zda fyzická osoba i nadále splňuje podmínky pro přístup k utajované informaci stupně utajení Vyhrazené po uplynutí 3 let od vydání oznámení podle § 6 zákona;
neproškolení fyzické osoby, která měla přístup k utajované informaci. Průmyslová bezpečnost
neoznámení změny údajů zapisovaných do obchodního rejstříku. Administrativní bezpečnost
nezaevidování utajovaných informací (dokumentů);
neoprávněné zrušení stupně utajení utajované informace bez souhlasu jejího původce;
neoznámení zrušení stupně utajení adresátům utajované informace;
nedostatky ve způsobu vedení evidence utajovaných dokumentů a ve vedení dalších administrativních pomůcek (neúplné nebo nesprávné zápisy, chybně prováděné opravy);
používání administrativních pomůcek, které nesplňovaly požadavky stanovené právním předpisem na jejich obsah a úpravu (autentizace);
nedostatky ve vyznačování náležitostí utajovaných dokumentů (nevyznačený nebo chybně vyznačený stupeň utajení, nesprávné nebo chybějící další povinné náležitosti vlastního nebo doručeného utajovaného dokumentu, chybně sestavené číslo jednací);
neplnění dalších povinností stanovených v oblasti administrativní bezpečnosti právními předpisy (např. při předávání nebo přepravě utajovaných dokumentů, při změně osoby pověřené vedením evidence utajovaných informací).
45
Činnost registrů utajovaných informací
nezaevidování utajovaných informací (dokumentů) poskytnutých cizí mocí v příslušném registru utajovaných informací; Fyzická bezpečnost
nezpracování projektu fyzické bezpečnosti pro objekt a zabezpečené oblasti, ve kterých se ukládají utajované informace;
nedostatky ve zpracování projektu fyzické bezpečnosti (neúplnost, chybné hodnocení použitých opatření fyzické bezpečnosti, neprovádění aktualizace, vnitřní rozpornost);
nesoulad skutečného stavu s projektem fyzické bezpečnosti;
nedostatky v realizaci opatření fyzické bezpečnosti (nefunkčnost použitých technických prostředků, nesprávná instalace technických prostředků, nedostatky ve vedení evidence návštěv v objektu);
absence požadovaných a zabezpečených oblastí;
nedostatečná úroveň opatření fyzické bezpečnosti (nesplnění stanovených minimálních požadavků);
nesplnění dalších povinností stanovených v oblasti fyzické bezpečnosti právními předpisy (např. funkční zkoušky technických prostředků, průběžné hodnocení rizik).
technických
prostředků
pro
zajištění
objektů
Bezpečnost informačních a komunikačních systémů
provoz informačního systému v rozporu s certifikační zprávou (provoz neakreditovaného nebo neschváleného informačního systému, neoznámení akreditace nebo schválení systému do provozu Úřadu). Kryptografická ochrana
nepředložení provozní dokumentace kryptografického prostředku;
nedodržení certifikační zprávy kryptografického prostředku (vedení provozního deníku);
nedostatečné zabezpečení kryptografického prostředku proti neoprávněné manipulaci;
absence pověření k výkonu obsluhy kryptografického prostředku;
absence osvědčení odborné způsobilosti k výkonu obsluhy kryptografického prostředku;
46
manipulace s kryptografickým materiálem osobou neoprávněnou k této manipulaci.
V rámci výkonu státního dozoru Úřad rovněž získává poznatky, které pomáhají vyhodnotit efektivitu právní úpravy a konkrétních řešení jednotlivých oblastí ochrany utajovaných informací, je konfrontován s případnými problémy při aplikaci právních předpisů a při praktické realizaci ochrany utajovaných informací. Výkon státního dozoru je tak významným zdrojem potřebné zpětné vazby využitelné například při přípravě novelizace právní úpravy ochrany utajovaných informací. V rámci metodické činnosti vůči orgánům státu i podnikatelům majícím přístup k utajovaným informacím se Úřad rovněž může zaměřit právě na problémové oblasti a konkrétní nedostatky zjišťované při výkonu státního dozoru.
2.11. Metodická činnost Úřadu Metodickou činnost vůči orgánům státu a jejich organizačním složkám a vůči podnikatelům vykonával Úřad v roce 2010 především v rámci odborné činnosti jednotlivých organizačních celků poskytováním konzultací, zodpovídáním telefonických, písemných nebo elektronickou formou položených dotazů a rovněž při výkonu státního dozoru a provádění tzv. dohlídek v průběhu bezpečnostního řízení u podnikatelů. Předmětem metodické činnosti je zejména oblast bezpečnostního řízení, hlášení změn, procesu certifikace, zpracovávání bezpečnostní dokumentace, projektu fyzické bezpečnosti, a konkrétních postupů při praktické aplikaci právních předpisů v oblasti administrativní a fyzické bezpečnosti. Nejčastěji kladené dotazy a odpovědi stejně jako vydávané metodické pokyny a návody Úřad uveřejňuje na svých internetových stránkách (viz kapitolu 2.12.2.). 2.11.1. Metodická činnost v oblasti bezpečnostního řízení Metodická činnost Úřadu v oblasti bezpečnostního řízení je nezbytným, trvalým a kontinuálním procesem, který probíhal i v průběhu celého roku 2010. Členění této činnosti korespondovalo s jednotlivými fázemi bezpečnostního řízení. První oblastí bylo poskytování konzultací a metodických doporučení fyzickým osobám, podnikatelům, odpovědným osobám a bezpečnostním ředitelům pro přípravu a realizaci žádosti o vydání osvědčení fyzické osoby nebo osvědčení podnikatele nebo dokladu. Druhá oblast je spojena s postupem Úřadu podle § 102 zákona, kdy Úřad při podání žádosti, pokud je to možné, pomáhá účastníku řízení s odstraněním nedostatků žádosti na místě, resp. postupem podle § 103 zákona, podle kterého je Úřad oprávněn požadovat upřesnění údajů uvedených v žádosti.
47
Jako třetí oblast metodické činnosti lze označit metodické vedení držitelů osvědčení nebo dokladu formou konzultací a informací uveřejňovaných na internetových stránkách Úřadu. Čtvrtou oblastí bylo poskytování konzultací a metodické vedení při přípravě opakovaných žádostí v souvislosti se zachováním přístupu k utajovaným informacím. Metodickou činnost Úřadu v této rovině lze označit za velmi významnou především ve směru k podnikatelům – držitelům osvědčení podnikatele, kteří i bezprostředně po uplynutí doby platnosti dosavadního osvědčení nadále předpokládali přístup k utajovaným informacím. Právě u podnikatelů, u kterých se vyskytují utajované informace, by případné nedodržení zákonem stanovené lhůty pro podání žádosti podnikatele k vydání navazujícího osvědčení podnikatele mohlo znamenat přerušení kontinuity ochrany utajovaných informací a fakticky tak zapříčinit situace, ve kterých může nastat porušení zákona spolu s reálným ohrožením utajovaných informací, potažmo znemožnění části jejich podnikatelských aktivit. Na základě dosavadních zkušeností z kontrol prováděných v rámci výkonu státního dozoru u podnikatelů a vyhodnocováním materiálů poskytnutých podnikateli, kteří byli držiteli osvědčení podnikatele, je možné konstatovat přetrvávající nedostatky ve znalosti zákona, zejména pak v aplikaci jednotlivých druhů zajištění ochrany utajovaných informací v praxi, tj. personální, administrativní a fyzické bezpečnosti, a při plnění povinností odpovědné osoby. Úřad dále periodicky prováděl metodickou činnost ve vztahu k orgánům státu, které spolupracují při provádění bezpečnostního řízení. Nejintenzivnější byly konzultace a metodická jednání se zpravodajskými službami.
2.12. Věstník Úřadu a internetové stránky Úřadu 2.12.1. Věstník Úřadu Úřad vydává, v souladu se zákonem, Věstník Úřadu jako periodickou tiskovinu, která vychází dvakrát ročně, v případě potřeby i vícekrát. V roce 2010 byla vydána 2 pravidelná čísla. Obsahem Věstníku Úřadu je především seznam certifikovaných technických prostředků a seznam podnikatelů, kteří jsou držiteli osvědčení podnikatele. Ve Věstníku Úřadu jsou dále zveřejňovány informace z oblasti personální, administrativní, průmyslové a fyzické bezpečnosti, bezpečnosti informačních a komunikačních systémů, kryptografické ochrany utajovaných informací a bezpečnostní způsobilosti. Dále jsou zveřejňovány metodické pokyny vydávané Úřadem, různé pokyny, návody a instrukce, žádosti a další informace určené odborné veřejnosti. Věstník Úřadu není distribuován formou volného prodeje. Lze jej zakoupit pouze předplatitelskou formou (v současné době je registrováno cca 2.500
48
předplatitelů). Věstník lze rovněž objednat přímo na adrese Úřadu nebo v obchodním oddělení Tiskárny Ministerstva vnitra. Obsah Věstníku Úřadu je rovněž zveřejňován na internetových stránkách Úřadu. 2.12.2. Internetové stránky Úřadu Internetové stránky Úřadu (www.nbu.cz) jsou v provozu od roku 1999. Jsou na nich pravidelně zveřejňovány veškeré informace, které se týkají činnosti Úřadu a jeho hlavních úkolů. Členěny jsou na odborné a všeobecné informace, včetně aktualit, tiskových zpráv a elektronické podatelny. Všechny údaje jsou průběžně aktualizovány. Obsahem svých internetových stránek se Úřad snaží především reagovat na nejčastěji kladené dotazy tak, aby na nich jejich návštěvníci nalezli vše, co potřebují vědět o problematice utajovaných informací, bezpečnostní způsobilosti i o Úřadu samotném. V roce 2010 byly podle očekávání nejvíce vyhledávanými informace týkající se bezpečnostního řízení. Na internetových stránkách Úřadu je zveřejňován přehled všech platných právních předpisů upravujících oblast ochrany utajovaných informací a bezpečnostní způsobilosti, průběžně aktualizovaný o jejich novelizace. Internetové stránky také obsahují informace o ztrátě nebo ukončení platnosti certifikátů, o falešných certifikátech apod. Zveřejňovány jsou rovněž aktuální metodické pokyny a zpřístupněny jsou i elektronické verze dotazníků a žádostí. Internetové stránky vždy obsahují poslední číslo Věstníku Úřadu. Internetové stránky splňují pravidla přístupnosti dle vyhlášky č. 64/2008 Sb., o formě uveřejňování informací souvisejících s výkonem veřejné správy prostřednictvím webových stránek pro osoby se zdravotním postižením (vyhláška o přístupnosti), a s jejich obsahem se mohou seznámit i osoby se zdravotním postižením. Internetové stránky Úřadu byly vybrány Národní knihovnou ČR jako kvalitní zdroj, který by měl být uchován do budoucna, jejich záznam je součástí bibliografie a katalogu Národní knihovny ČR. Stránky jsou opatřeny logem Webarchiv. V roce 2010 vykázaly internetové stránky více než 135.000 přístupů, což je více než 11.000 návštěv za měsíc.
2.13. Poskytování informací podle zákona č. 106/1999 Sb., o svobodném přístupu k informacím V roce 2010 byly Úřadu podány 4 žádosti o informace podle zákona č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů. Ve 3 případech bylo žádostem vyhověno a požadované informace byly žadatelům
49
poskytnuty. V 1 případě bylo vydáno rozhodnutí o odmítnutí žádosti. Proti tomuto rozhodnutí byl podán rozklad, jemuž ředitel Úřadu vyhověl. V roce 2010 nebyla poskytnuta žádná výhradní licence ani nebyla podána žádná stížnost podle § 16a zákona č. 106/1999 Sb.
2.14. Inspekce ředitele Úřadu Inspekce ředitele Úřadu v průběhu kalendářního roku prováděla, v rámci plnění dlouhodobých úkolů, činnosti související s výkonem interní kontroly určených oblastí působnosti Úřadu. V oblasti boje proti korupci plnila úkoly vyplývající z příslušných usnesení vlády. V roce 2010 inspekce ředitele Úřadu řešila 5 stížností. Jedna ze stížností byla vyhodnocena jako částečně důvodná.
3. Bezpečnostní, ekonomické a personální zabezpečení Úřadu
3.1. Ochrana utajovaných informací v Úřadu a krizové řízení Ochranu utajovaných informací v Úřadu zajišťoval v roce 2010 odbor bezpečnostní, v jehož čele stojí bezpečnostní ředitel Úřadu, který odpovídá také za krizovou připravenost Úřadu. V průběhu roku 2010 byly doplňovány některé součásti prostředků fyzické bezpečnosti a došlo k drobným úpravám režimových opatření. Aktualizován byl rovněž krizový plán Úřadu. 3.1.1. Ochrana objektu Úřadu V roce 2010 byla komplexní odpovědnost za vnitřní i vnější ostrahu Úřadu převedena na ochrannou službu Policie ČR. 3.1.2. Vnitřní kontrola Vnitřní kontrola byla, v souladu s Plánem kontrol na rok 2010, zaměřena na dodržování zásad při ochraně utajovaných informací ze strany zaměstnanců Úřadu. Kontrolní činnost byla prováděna v provozní i mimoprovozní době a byla průběžně vykonávána na všech pracovištích Úřadu.
50
Kontrolní činnost byla zaměřena zejména na:
zabezpečení pracovišť při krátkodobé i dlouhodobé nepřítomnosti zaměstnance,
klíčové hospodářství,
zabezpečení výpočetní techniky,
zabezpečení úschovných objektů a uzamykatelných schránek,
dodržování pravidel administrativní bezpečnosti,
manipulaci a uložení evidovaných razítek Úřadu,
neoprávněné vnášení nebezpečných předmětů či alkoholických nápojů.
V roce 2010 odbor bezpečnostní provedl celkem 2 plánované a 6 namátkových kontrol, během nichž nebyly zjištěny žádné podstatné nedostatky. 3.1.3. Bezpečnostní řízení prováděná k zaměstnancům Úřadu V roce 2010 bylo, na základě bezpečnostního řízení realizovaného odborem bezpečnostním, vydáno 72 osvědčení fyzické osoby a 12 osvědčení fyzické osoby pro cizí moc. 2 zaměstnancům Úřadu byla, v souladu s ustanovením § 101 odst. 2 zákona, zrušena platnost osvědčení fyzické osoby, neboť přestali splňovat podmínku podle § 12 odst. 1 písm. d) zákona.
3.2. Archiv Národního bezpečnostního úřadu Archiv Národního bezpečnostního úřadu (dále jen „Archiv“) vykonává od roku 2005 činnosti v oblasti bezpečnostního archivu. V roce 2010 byla Archivu Ministerstvem vnitra udělena akreditace pro výkon působnosti veřejného specializovaného archivu. Archiv v rámci činnosti bezpečnostního archivu pečuje o utajované archiválie a v rámci činnosti specializovaného archivu o neutajované archiválie. Archiválie jsou vedeny v základní evidenci Národního archivního dědictví. Celkový rozsah archiválií v roce 2010 činil v bezpečnostním archivu 9,1 běžných metrů, ve specializovaném archivu 6,84 běžných metrů. Archiv zpřístupňuje uložené archiválie oprávněným badatelům ke studiu. V roce 2010 Archiv vykonal 8 archivních prohlídek a navštívil jej 1 interní badatel.
51
3.3. Ekonomické zabezpečení Úřadu Úřad, který byl zřízen zákonem č. 148/1998 Sb., o ochraně utajovaných skutečností a o změně některých zákonů, dne 1. listopadu 1998, se po ekonomické stránce vyčlenil ze struktur Ministerstva vnitra. Jako ústřední správní úřad pro oblast ochrany utajovaných informací a bezpečnostní způsobilosti je při plnění úkolů stanovených zákonem financován v plné výši ze státního rozpočtu v rámci samostatné kapitoly státního rozpočtu „308“. Příjmy přímo související se správní činností Úřadu byly pro rok 2010 rozpočtovány ve výši 300 tis. Kč. Jejich plnění bylo navýšeno nahodilými příjmy, se kterými rozpočet nepočítá, a celkem činily 948 tis. Kč. Samostatným příjmem Úřadu ve výši 1.989 tis. Kč jsou finanční prostředky ze Strukturálních fondů EU, Integrovaný operační program záměr č. 204 ze Seznamu záměrů strategických projektů pro čerpání prostředků ze Strukturálních fondů EU v rámci Smart Administration. Jedná se o projekt „Zavedení elektronického systému spisové služby a Document Management Systemu v Národním bezpečnostním úřadě v návaznosti na zavedení datových schránek“, který je připravován v souladu se zákonem č. 499/2004 Sb., o archivnictví a spisové službě a o změně některých zákonů, ve znění pozdějších předpisů. Tento projekt je dvouletý a ukončen bude v roce 2011. Schválené rozpočtové výdaje na rok 2010 byly sníženy o 253 tis. Kč třemi rozpočtovými opatřeními Ministerstva financí z 272.082 tis. Kč na 271.829 tis. Kč. Na druhé straně byly výdaje pro rok 2010 posíleny o nespotřebované výdaje roku 2009 ve výši 1.598 tis. Kč. Znamená to, že rozpočet Úřadu byl o tyto prostředky přečerpán na 100,33 %. Rozpočet za rok 2010 byl čerpán ve výši 259.792 tis. Kč. Dále bylo v rozpočtu roku 2010 vázáno 12.894 tis. Kč ve prospěch státního rozpočtu, Úřad tedy nesměl tyto prostředky čerpat. Největší objem běžných výdajů tvořily, jako každým rokem, mzdové výdaje a zákonem dané odvody, které byly vyčerpány na 99,94 %. Běžné výdaje, zejména platby v oblasti energií, nezbytných služeb a nákupů k zajištění činnosti Úřadu činily po rozpočtových změnách 62.353 tis. Kč a byly čerpány na úrovni 99,32 %. Kapitálové výdaje upraveného rozpočtu ve výši 11.225 tis. Kč v oblasti pořízení hmotného a nehmotného majetku pak byly vyčerpány na 99,99 %. Výzkum a vývoj byl v plném rozsahu financován z prostředků kapitoly „308“, tj. bez dotací výzkumu a vývoje státního rozpočtu, ve výši 20.004 tis. Kč. Vyčerpáno bylo 99,97 %, tj. 18.268 tis. Kč (1.36 tis. Kč bylo vázáno). V rámci uzavřených smluvních závazků s externími řešiteli bylo na účelové výzkumné projekty vyčerpáno 16.722 tis. Kč a v rámci institucionálních prostředků, které využívá Úřad pro potřeby vlastního výzkumu, bylo vyčerpáno 1.546 tis. Kč. Nároky nespotřebovaných výdajů z rozpočtu roku 2010 se skládají z finančních prostředků vázaných vládou ve výši 12.894 tis. Kč, ty byly odvedeny do státního rozpočtu, a ze 742 tis. Kč, které Úřad uplatní na pokrytí neplánovaných výdajů v roce 2011.
52
Veškeré výdaje finančních prostředků určených na financování činnosti Úřadu, tj. vyplývajících ze zákona, procházely, v souladu se zákonem o finanční kontrole, předběžnou a průběžnou finanční kontrolou. Následná kontrola byla prováděna u všech účetních operací hlavní účetní a u vybraných finančních operací průřezově i správcem rozpočtu. Každým rokem je rozpočet kapitoly „308“ snižován při stejném rozsahu činnosti. Úsporná opatření se proto zaměřují především na snížení kapitálových nákladů. Celkové výdaje Úřadu v letech 2008 aţ 2010
Celkové výdaje (v tis. Kč)
2008
2009
2010
285.174
289.158
259.792
3.4. Personální zabezpečení Úřadu V roce 2010 měl Úřad systemizovaných 283 pracovních míst. Tím bylo dokončeno plnění požadavku vyplývajícího z usnesení vlády č. 436 ze dne 25. dubna 2007, k návrhu na snižování počtu funkčních míst ve státní správě do roku 2010, a to nejméně o 3 % ročně. V průběhu roku však byla přijata opatření vlády, ze kterých vyplynulo snížení finančních prostředků pro Úřad i ve mzdové oblasti o 10 % pro rok 2011. Na tuto novou situaci Úřad reagoval přijetím organizačních opatření na konci roku 2010 a dalším snížením celkového počtu o 8 míst. K 1. lednu 2011 je v Úřadu systemizováno pouze 275 pracovních míst. K 31. prosinci 2010 bylo aktuálně obsazeno 266 pracovních míst, z toho bylo 131 mužů a 135 žen. Průměrný věk zaměstnanců byl 43 let a téměř 62 % zaměstnanců mělo vysokoškolské vzdělání. Úřad vyvíjí maximální úsilí, aby pracovní místa byla obsazena kvalifikovanými a schopnými zaměstnanci s odpovídající praxí, kteří zároveň splňují požadavky pro přístup k utajovaným informacím. Struktura zaměstnanců Úřadu – muţi/ţeny a podle vzdělání 51%
38%
49%
62%
muţi
vysokoškolské
ţeny
ostatní
V Úřadu je průběžně realizován systém vzdělávání zaměstnanců. V roce 2010 pokračovalo jazykové vzdělávání, kterého se pravidelně účastní více než 60 zaměstnanců, dále probíhala i odborná školení v oblasti informačních technologií. Pozornost byla věnována zdokonalení komunikačních dovedností zaměstnanců, kteří přicházejí do kontaktu s veřejností, a pokračovalo rovněž manažerské vzdělávání 53
vedoucích zaměstnanců zaměřené především na týmovou spolupráci. Školení byla účastníky hodnocena velmi kladně, s velkým přínosem pro praxi. Zaměstnanci měli možnost se dále vzdělávat v těch oblastech, které bezprostředně souvisejí s výkonem jejich odborných činností – tj. především v oblasti právní, ekonomické a technické. Možnost vzdělávání zaměstnanců je jedním z motivačních prvků, které Úřad využívá.
54
Organizační schéma Národního bezpečnostního úřadu od 1. 10. 2010 Ředitel Úřadu
Oddělení opravných prostředků
Oddělení mezinárodní spolupráce
Interní audit
Inspekce ředitele Úřadu
Odbor bezpečnostní Bezpečnostní ředitel
Oddělení vnitřní bezpečnosti Sekce provozně právní
Oddělení personální
Sekce bezpečnostního řízení
Sekce technická
Odbor provozně ekonomický
Odbor právní a legislativní
Odbor informačních technologií
Odbor komunikačních a informačních systémů
Oddělení provozu a sluţeb
Oddělení legislativní
Oddělení certifikací
Oddělení správy kom. syst., majetku a podpory
Oddělení ekonomické
Oddělení právní
Oddělení šifrové sluţby
Oddělení správy vnitř. informačních systémů
Pracoviště pro koordinaci výzkumu a vývoje
Sekce kancelář ředitele Úřadu
Oddělení provozní kontroly a kriz. řízení
Odbor pers. bezpečnosti a bezpečnostní způsobilosti
Odbor pers. bezpečnosti ozbroj. sil a bezpeč. sborů
Odbor průmyslové bezpečnosti
Odbor evidenčního šetření a podpory
Odbor administrativní a fyzické bezpečnosti
1. oddělení bezpečnostního řízení
1. oddělení bezpečnostního řízení
1. oddělení bezpečnostního řízení
1. oddělení evidenčního šetření
Kancelář 1. náměstka ředitele Úřadu
Oddělení ústředního registru
Sekretariát ředitele Úřadu
2. oddělení bezpečnostního řízení
2. oddělení bezpečnostního řízení
2. oddělení bezpečnostního řízení
2. oddělení evidenčního šetření
Oddělení metodiky bezpečnostního řízení
Oddělení fyzické bezpečnosti
Oddělení státního dozoru
3. oddělení bezpečnostního řízení
3. oddělení bezpečnostního řízení
3. oddělení bezpečnostního řízení
Oddělení spisové sluţby
Skupina administrativní bezpečnosti
Archiv Úřadu
4. oddělení bezpečnostního řízení
4. oddělení bezpečnostního řízení
Obsah 1. Úvod
3
2. Činnost Úřadu
3
2.1. Legislativní a právní činnost Úřadu
3
2.1.1. Vnější legislativní činnost
3
2.1.2. Vnitřní legislativní činnost
4
2.1.3. Právní činnost
4
2.2. Mezinárodní spolupráce Úřadu
5
2.2.1. Mezinárodní smlouvy
5
2.2.1.1. Hodnocení sjednávání smluv o ochraně utajovaných informací za rok 2010
6
2.2.1.2. Výhled na rok 2011
8
2.2.2. Aktivity vyplývající z členství ČR v NATO a EU
8
2.2.3. Spolupráce s bezpečnostními úřady partnerských států
12
2.2.4. Ostatní mezinárodní aktivity Úřadu
13
2.3. Personální bezpečnost
13
2.3.1. Statistické přehledy
15
2.3.2. Analýza důvodů nevydání nebo zrušení platnosti osvědčení fyzické osoby
17
2.3.3. Personální projekt
18
2.4. Bezpečnostní způsobilost
19
2.4.1. Statistické přehledy
20
2.5. Průmyslová bezpečnost
20
2.5.1. Bezpečnostní řízení o žádosti podnikatele
21
2.5.2. Statistické přehledy
21
2.5.3. Analýza důvodů nevydání osvědčení podnikatele
22
56
2.6. Bezpečnost informačních a komunikačních systémů a kryptografic23 ká ochrana 2.6.1. Certifikační a akreditační činnost
24
2.6.1.1. Certifikace a akreditace informačních systémů
24
2.6.1.2. Certifikace kryptografických prostředků
26
2.6.1.3. Certifikace kryptografických pracovišť
28
2.6.1.4. Certifikace stínicích komor
29
2.6.2. Další odborná činnost
29
2.6.2.1. Výroba kryptografického materiálu
29
2.6.2.2. Měření kompromitujícího vyzařování (TEMPEST)
30
2.6.2.2.1. TEMPEST měření elektronických zařízení
30
2.6.2.2.2. Zónové měření, obranně technické prohlídky
30
2.6.2.2.3. Přehled provedených měření
30
2.6.2.3. Schvalování projektů bezpečnosti komunikačních systémů
31
2.6.2.4. Školení pracovníků kryptografické ochrany a zkoušky odbor31 né způsobilosti 2.6.3. Problémové oblasti bezpečnosti informačních a komunikačních sys31 témů a kryptografické ochrany 2.7. Administrativní a fyzická bezpečnost, ústřední registr
32
2.7.1. Administrativní bezpečnost
32
2.7.2. Fyzická bezpečnost
33
2.7.2.1. Certifikace technických prostředků
33
2.7.2.2. Posuzování projektů fyzické bezpečnosti
35
2.7.2.3. Problémové oblasti fyzické bezpečnosti
36
2.7.3. Ústřední registr
36
2.8. Opravné prostředky
36
2.8.1. Bezpečnostní řízení
36
2.8.1.1. Statistické přehledy
37
2.8.1.1.1. Rozklady
37
2.8.1.1.2. Ţaloby správní
38
2.8.1.1.3. Kasační stíţnosti
38
57
2.8.1.2. Hodnocení rozhodovací praxe Úřadu
38
2.8.2. Správní řízení o pokutě
38
2.8.3. Řízení dle zákona č. 106/1999 Sb., o svobodném přístupu k informacím
39
2.9. Výzkumná a vývojová činnost Úřadu
39
2.9.1. Cíle a organizace výzkumu a vývoje
39
2.9.2. Přehled projektů realizovaných formou smlouvy o dílo
40
2.9.2.1. Projekty započaté a ukončené v roce 2010
40
2.9.2.2. Projekty započaté v roce 2010 s ukončením v roce 2011
40
2.9.3. Vlastní výzkum a vývoj v Úřadu 2.10. Státní dozor
41 42
2.10.1. Kontroly provedené v roce 2010
43
2.10.2. Výsledky kontrol
44
2.11. Metodická činnost Úřadu
47
2.11.1. Metodická činnost v oblasti bezpečnostního řízení 2.12. Věstník Úřadu a internetové stránky Úřadu
47 48
2.12.1. Věstník Úřadu
48
2.12.2. Internetové stránky Úřadu
49
2.13. Poskytování informací podle zákona č. 106/1999 Sb., o svobodném 49 přístupu k informacím 2.14. Inspekce ředitele Úřadu
50
3. Bezpečnostní, ekonomické a personální zabezpečení Úřadu
50
3.1. Ochrana utajovaných informací v Úřadu a krizové řízení
50
3.1.1. Ochrana objektu Úřadu
50
3.1.2. Vnitřní kontrola
50
3.1.3. Bezpečnostní řízení prováděná k zaměstnancům Úřadu
51
3.2. Archiv Národního bezpečnostního úřadu
58
51
3.3. Ekonomické zabezpečení Úřadu
52
3.4. Personální zabezpečení Úřadu
53
59
